СНИЛС это персональные данные или нет

Что такое персональные данные

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

• имя, отчество и фамилия гражданина;
• дата его рождения (число, месяц и год);
• место рождения;
• адрес регистрации или место фактического проживания;
• сведения о семейном положении и детях;
• социальное положение;
• данные об имуществе;
• размер и источники дохода;
• сведения об оконченных учебных заведениях;
• профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

СНИЛС

СНИЛС – это Страховой Номер Индивидуального Лицевого Счета гражданина в системе обязательного пенсионного страхования. СНИЛС присваивается в процессе регистрации в системе обязательного государственного пенсионного страхования граждан Российской Федерации и иностранцев, которые официально работают на территории России, получают зарплату и перечисляют страховые взносы в Пенсионный фонд РФ.

СНИЛС является одним из главных документов гражданина, по которому определяется:

где и сколько гражданин трудился официально,

какие взносы уплачены за него работодателями,

где работает застрахованное лицо в данный момент;

Также по СНИЛС назначаются пенсии, социальные пособия, льготы и оказываются другие государственные услуги.

СНИЛС и нормативное регулирование

Действие СНИЛС регулируется федеральным законом «Об обязательном пенсионном страховании в РФ» (№167-ФЗ от 15.12.2001).

Для каких целей нужен СНИЛС

Наличие СНИЛС нужно и важно не только государству, но и самому застрахованному лицу для:

формирования пенсии и последующего получения пенсионного удостоверения;

получения государственных услуг в электронном виде;

получения услуг в органах власти различного уровня;

оформления социальных и медицинских льгот, субсидий;

трудоустройства на официальную работу.

Как выглядит СНИЛС

Лицевая сторона страхового свидетельства содержит:

страховой номер индивидуального лицевого счета;

фамилию, имя, отчество владельца;

дата и место рождения;

дата регистрации в пенсионной системе Российской Федерации (в некоторых случаях отличается от фактической даты получения свидетельства).

Присваивается страховой номер человеку один раз в жизни.

В дальнейшем что бы ни случалось с гражданином (меняется фамилия, уезжает из страны на несколько лет, а затем возвращается и так далее), код идентификации остается одним и тем же.

Регистрация в системе пенсионного страхования обязательна как для жителей РФ, так и для иностранцев, официально работающих в России.

Кому выдается СНИЛС

СНИЛС выдается всем категориям граждан РФ, зарегистрированным в системе персонифицированного учета Пенсионного фонда РФ, включая детей, неработающих граждан и военнослужащих, а также иностранным гражданам, которые официально работают на территории России.

Какая информация собирается на Индивидуальном Лицевом Счете

На каждое застрахованное лицо открывается лицевой счет с уникальным номером, который состоит из 11 цифр.

Номер присваивается по специальному алгоритму, исключающему подделку и дублирование.

На этом счете в процессе всей трудовой деятельности человека собирается информация по следующим разделам:

периоды трудовой деятельности;

размер заработной платы;

перечисленные суммы страховых взносов;

суммы накопительной пенсии;

выбранная управляющая компания;

суммы инвестиционного дохода;

Информация, сопоставленная со страховым номером индивидуального лицевого счета:

содержит полные данные об отчислениях работодателей (в ФСС и ПФР) за весь период трудового стажа работника (имеется в виду страховой стаж, начиная с 2002 года);

применяется для формирования государственных регистров граждан (в рамках обмена персональными данными гражданина между различными ведомствами);

необходима для авторизации на портале госуслуг.

Любой гражданин может посмотреть информацию, которая хранится на его индивидуальном счете.

Для этого надо знать свой страховой номер, который указан на страховом свидетельстве.

Порядок получения СНИЛС

Оформить и получить СНИЛС можно:

При устройстве на работу. Для этого заполняется анкета, которую работодатель обязан в течение 2 недель передать в территориальное отделение пенсионного фонда РФ. Пенсионный фонд РФ, в свою очередь, за 5 дней изготавливает пластиковую карточку и передает ее работодателю. И далее работодатель выдает работнику готовый документ;

Самостоятельно. Это следует сделать в территориальном отделении пенсионного фонда РФ или через МФЦ. Для этого понадобится: только заполненная анкета и паспорт. В пенсионном фонде РФ СНИЛС выдают в день обращения. В МФЦ СНИЛС выдают через 5 дней.

Иностранцы, которые живут и работают на территории РФ, тоже должны зарегистрироваться в системе пенсионного страхования. Они могут это сделать через работодателя или непосредственно в отделении пенсионного фонда РФ.

Физические лица (ИП, нотариусы, адвокаты и другие самозанятые граждане), которые самостоятельно уплачивают взносы в пенсионный фонд РФ, оформляют карточку и получают страховой номер непосредственно в отделении пенсионного фонда РФ.

Сейчас граждане РФ получают страховое свидетельство практически сразу после рождения.

Для этого мать или отец со своим паспортом и свидетельством о рождении должны посетить отделение Пенсионного фонда РФ или МФЦ по месту жительства либо фактического проживания.

Необходимые документы для получения СНИЛС

Для получения СНИЛС необходимы документы:

паспорт (если он составлен на иностранном языке, то нужен нотариально заверенный перевод);

для иностранцев разрешение, дающее право на проживание в стране.

Что будет, если не оформлять СНИЛС

Если не оформлять СНИЛС, то возможны такие последствия:

Возникнут проблемы при попытке официально трудоустроиться. Закон «Об обязательном пенсионном страховании в РФ» обязывает и работодателя, и сотрудника регистрировать все изменения в страховом стаже работника в системе государственного пенсионного страхования. Нарушение этого требования приводит к штрафу работодателя, а кому такое понравится?

Бухгалтерская отчетность юрлиц и ИП, связанная с кадровым делопроизводством, привязана к страховым номерам лицевых счетов сотрудников. Поэтому гражданин не сможет получить зарплату, если у него нет СНИЛС;

При отсутствии страхового свидетельства не получится оформить пособия, а также зарегистрироваться на Портале госуслуг. Значит, не поставить ребенка на очередь в детсад, не записаться дистанционно к врачу. Документы придется собирать в бумажном виде и приносить в каждую инстанцию по отдельности и так далее;

Если нет страхового номера индивидуального лицевого счета, будут большие проблемы с восстановлением страхового стажа и отчислений в ПФР в прошлые периоды. Придется бегать по архивам, искать отчетность предприятий и переоформлять пенсию в индивидуальном порядке в ручном режиме;

Нередко СНИЛС является вторым документом, необходимым при оформлении кредитов в коммерческих банках. Любого специалиста кредитного отдела насторожит отсутствие у потенциального заемщика идентификационного номера, когда информацию о заемщике начнут проверять.

Где можно узнать свой СНИЛС

Узнать свой СНИЛС можно:

В личном кабинете Пенсионного фонда РФ или на сайте Госуслуги. Для надо уже иметь там свою учетную запись, которая, не может существовать без СНИЛС;

У себя на работе в отделе кадров или в бухгалтерии;

В любом отделении Пенсионного фонда РФ.

Получение СНИЛС с 1 апреля 2019 года

С 1 апреля 2019 года вступили в силу изменения в закона об индивидуальном (персонифицированном) учете. С этой даты застрахованным лицам при регистрации не придется в обязательном порядке получать в Пенсионном фонде страховое свидетельство СНИЛС в виде зеленой карточки. Вместо нее вводится документ, подтверждающий регистрацию, в том числе в форме электронного документа. Этот документ можно получить, представив соответствующее заявление в ПФР, в МФЦ или через работодателя.

Итоги

СНИЛС или страховой номер индивидуального лицевого счета – обязательный атрибут каждого гражданина РФ, а также иностранцев, работающих в нашей стране официально. К этому номеру привязаны все сведения о трудовом стаже и об отчислениях в ПФР и ФСС, которые делали работодатели за работника на протяжении всей трудовой деятельности. На основании данных сведений застрахованному лицу назначается пенсия, выплачиваются пособия и так далее.

СНИЛС используется в качестве идентификатора при входе на Портал госуслуг, что позволяет пользоваться большим количеством государственных услуг, оказываемых дистанционно.

Получить СНИЛС можно через работодателя или в территориальном органе Пенсионного фонда РФ по месту проживания, а также во многих МФЦ. Присваивается СНИЛС один раз в жизни, действует бессрочно.

Остались еще вопросы по бухучету и налогам? Задайте их на форуме “Зарплата и кадры”.

Что такое персональные данные

Что включает понятие персональные данные

В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства и адрес фактического проживания;
• номер телефона (домашний, мобильный);
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
• отношение к воинской обязанности;
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• СНИЛС;
• ИНН;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО ” Ромашка “;
• сведения о доходах в ООО ” Ромашка “;
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

Какое сочетание указанной выше информации дает основание считать ее персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Является ли фамилия (без указания имени и отчества) персональными данными?

Является ли адрес электронной почты персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: “. Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ “О персональных данных” от 27 июля 2006 г. N 152-ФЗ персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) . ” (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: “. в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума . Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке. не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь . ” (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ “О персональных данных”, т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: “. Фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена”.

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ “О персональных данных”.

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: “. абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу”.

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ “О персональных данных” только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

Персональные данные являются общедоступными при выполнении двух условий:

они предоставлены владельцем

доступны неопределенному кругу лиц.

Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В решении суда указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Вышестоящие суды согласились с такими выводами, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17; постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017; Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

ИНН – персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

— данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

4 невероятных факта о персональных данных

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

• Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
• Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
  Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
  С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
• Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
  При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
• Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
• Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
• Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
• Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
• Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

Применительно к отнесению данных к персональным важно понимать еще два момента:

1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
2. Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

Факт № 4. Более сложные материи

Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).

При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).

Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).

Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.

Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.

Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.