Что такое персональные данные

 

1. Что включает понятие персональные данные

2. Каков минимальный объем информации позволяет считать ее персональными данными?

3. Является ли адрес электронной почты персональным данным?

4. Являются ли общедоступными персональные данные, размещенные в социальных сетях?

5. ИНН - персональные данные?

6. Использование систем видеонаблюдения

7. Полезные ссылки по теме

 

Что включает понятие персональные данные

В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
  
• пол, возраст;
  
• дата и место рождения;
  
• паспортные данные;
  
• адрес регистрации по месту жительства и адрес фактического проживания;
  
• номер телефона (домашний, мобильный);
  
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
  
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
  
• отношение к воинской обязанности;
  
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
  
• СНИЛС;
  
• ИНН;
  
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО "Ромашка";
  
• сведения о доходах в ООО "Ромашка";
  
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

• Какое сочетание указанной выше информации дает основание считать ее персональными данными?

• Каков минимальный объем информации позволяет считать ее персональными данными?

• Является ли фамилия (без указания имени и отчества) персональными данными?

• Является ли адрес электронной почты персональными данными?

• Является ли номер телефона персональными данными?

 

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "... Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ..." (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "... в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума ... Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке... не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь ..." (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных", т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: "... Фамилия и инициалы гражданина - это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена".

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных".

 

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: "... абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу".

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных" только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

 

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

Персональные данные являются общедоступными при выполнении двух условий:

• они предоставлены владельцем

• доступны неопределенному кругу лиц.

Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В решении суда указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Вышестоящие суды согласились с такими выводами, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17; постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017; Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

 

ИНН - персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

 

Использование систем видеонаблюдения

Система распознавания лиц - это технология, которая сопоставляет лицо человека на изображении или видео с лицами в специальной локальной базе данных для идентификации личности, которая применяется в используемых на улицах и в городском транспорте камер видеонаблюдения. Турникеты г. Москвы с такими комплексами видеонаблюдения устанавливались, начиная с 2019 года. Использование таких камер направлено на обеспечение транспортной безопасности и позволит оперативно реагировать на возникающие внештатные ситуации, а также контролировать пассажиропоток. Кроме того, установленные на турникетах устройства видеонаблюдения планируется использовать для внедрения системы FacePay, позволяющей оплачивать проезд с помощью скана лица.

Камеры, входящие в столичную сеть видеонаблюдения, в рамках реализации программы "Умный город" установлены в местах массового скопления людей

По вопросу возможной утечки данных с этих камер Департамент информационных технологий Москвы (ДИТ) сообщает, что пользователями системы городского видеонаблюдения являются правоохранительные органы, государственные и муниципальные учреждения – у каждой категории свой уровень доступа, что позволяет обеспечивать конфиденциальность информации, а также отмечает, что:

• возможность доступа к ресурсам ЕЦХД неавторизованными пользователями путем генерации прямых ссылок к камерам видеонаблюдения отсутствует;
• организационные и технические меры защиты информации (в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Приказом ФСТЭК России от 18 февраля 2013 г. № 21) выполняются в полном объеме. При этом в рамках работы по усилению контроля за обеспечением защиты данных в московских информационных системах, оператором которых является департамент, подготовлен ряд проектов нормативных актов, предусматривающих соответствующие организационные меры по защите информации;
• департамент не располагает сведениями об утечке видеоинформации из ЕЦХД. Подтверждение достоверности информации о возможной продаже данных из ЕЦХД на черном рынке отсутствует. По мнению департамента, с помощью ресурсов, публикующих сообщения о продаже таких данных, осуществляется интернет-мошенничество с целью получения информации о гражданах, намеренных приобрести данные из ЕЦХД, в частности об их банковских картах;
• осуществление контрольных закупок незаконно распространяемой информации не относится к компетенции ДИТ. При выявлении в ходе постоянного мониторинга интернет-ресурсов фактов распространения информации о продаже данных из ЕЦХД департамент направляет обращения в Генеральную прокуратуру РФ для принятия решения о блокировке таких сайтов. На данный момент заблокировано более 30 ресурсов, публиковавших сообщения о продаже данных из ЕЦХД.

Отказывая в удовлетворении требований по одному из исков к ДИТ и ГУ МВД России по г. Москве с требованием о запрете использования системы распознавания лиц в камерах городского видеонаблюдения и о необходимости удаления ее данных из соответствующей базы изображений суд отметил, что:

• ДИТ получает и обрабатывает изображения в ЕЦХД в соответствии со ст. 152.1 ГК РФ, закрепляющей, что согласие гражданина на обнародование и дальнейшее использование изображения, в том числе его фотографии или видеозаписи с его участием, не требуется в том числе в случаях, когда использование изображения осуществляется в государственных, общественных или иных публичных интересах либо получено при съемке, которая проводится в местах, открытых для свободного посещения. При этом в ЕЦХД отсутствуют персональные данные граждан (Ф. И. О. и др.) и биометрические персональные данные (радужная оболочка глаз, рост, вес и т. д.), необходимые для установления личности гражданина.
• ДИТ не проводит мероприятий, направленных на идентификацию личности: используемый в ЕЦХД алгоритм распознавания лиц позволяет лишь сопоставить изображения, поступающие в ЕЦХД с камер, с предоставляемыми правоохранительными органами фотографиями и выявить наличие либо отсутствие совпадений, персональные данные при этом департаменту не передаются, отметил суд.

Таким образом, в отсутствие процедуры идентификации личности видеоизображения граждан не могут считаться биометрическими персональными данными, а значит, их использование не требует получения письменного согласия, необходимого для обработки персональных данных. Указав также, что технология распознавания лиц не является запрещенным способом использования информации ее обладателем, суд отказал в удовлетворении требований истца, и с этим решением впоследствии согласился суд апелляционной инстанции (Решение Савеловского районного суда г. Москвы от 11 ноября 2019 г. по делу № 2а-577/19, Определение Московского городского суда от 30 января 2020 г. № 33а-707/2020).

В другом деле родители пожаловались на школу, которая обрабатывала персональные данные учащихся без получения на это согласия. В постановлении суд прямо указал, что "в связи с использованием системы распознавания лиц учреждение обрабатывает персональные данные посетителей, в числе которых его фотография. Цель обработки указанных персональных данных посетителей учреждения — идентификация лица при пропуске на территорию образовательного учреждения. Таким образом, в учреждении действует биометрическая система идентификации лиц, в том числе, несовершеннолетних, которая позволяет установить личность владельца пропуска по фотоизображению" (Постановление Седьмого кассационного суда общей юрисдикции от 24 июля 2020 г. по делу № 16-2185/2020). Действующим законодательством РФ установлено, что несовершеннолетние не вправе от своего имени давать согласие на обработку персональных данных, в том числе и биометрических. Вместе с тем, закон о персональных данных не исключает возможность получения согласия на обработку биометрических персональных данных несовершеннолетних от их законных представителей (в соответствии с ч. 1, 6 ст. 9 и ч. 1 ст. 11 Закона № 152-ФЗ). Однако в рассматриваемом деле судом не были установлены обстоятельства получения согласия родителей (законных представителей) учащихся на обработку биометрических персональных данных их несовершеннолетних детей. Суд отменил все постановления, дело было отправлено на пересмотр в районный суд.

Представители бизнеса, осуществляющие реализацию своих товаров в торговых залах и других общественных местах, чаще всего устанавливают камеры для борьбы с кражами и мошенническими действиями. Но камеры могут быть установлены для других целей. Если камеры установлены для того, чтобы определять заполняемость помещений в различные периоды рабочего времени, популярность товаров, размещенных в определенном отделе торгового зала, либо степень привлечения внимания потребителей к определенной продукции, то в этом случае через камеры не собираются персональные данные, так как такие записи не направлены на идентификацию физического лица или привязке его изображения с определенными данными. Иными словами, осуществляется обработка обобщенных, а не конкретных данных, привязанных к какому-либо лицу. Но если камеры установлены для идентификации конкретного лица, например, для того чтобы понимать предпочтения и поведение конкретного покупателя, к примеру, если он был идентифицирован через систему лояльности, то такие записи уже будут являться персональными данными. В этом случае для законного использования компаниям необходимо получить согласие от соответствующих клиентов.

Таким образом, для обеспечения законного использования видео-анализа торговых залов необходимо на стадии внедрения определить цели и пределы использования полученных данных, а затем, исходя из желаемых операций с данными, уже необходимо определять те юридические меры, которые могут быть необходимыми с точки зрения законодательства о персональных данных.

Системы видеонаблюдения используют и в многоквартирных домах для защиты частной территории дома.

В одном деле собственники квартиры пытались добиться от ТСЖ демонтажа камер видеонаблюдения и выплаты компенсации морального вреда, считая такую установку и организацию видеонаблюдения незаконными, нарушающими их личные права на тайну частной жизни (Определение Восьмого кассационного суда общей юрисдикции от 19 ноября 2019 № 88-100/2019). Ответчик вину не признал, указав, что видеокамеры были установлены на основании решения общего собрания собственников помещений многоквартирного дома, в сторону квартиры собственников квартиры видеокамеры не направлены, и входная дверь квартиры не попадает в зону видеофиксации. Восьмой кассационный суд общей юрисдикции оставил без удовлетворения жалобу истцов, определив, что суды нижестоящих инстанций обоснованно не усмотрели в действиях ответчика нарушения прав на неприкосновенность частной жизни и защиту персональных данных. Свое решение суд обосновал позицией, согласно которой право истцов не было нарушено, поскольку установленные ответчиками камеры видеонаблюдения не способны фиксировать состояние внутренних помещений квартиры истцов, а факт размещения в общедоступном месте камер видеонаблюдения не является деятельностью по обработке персональных данных.

В другом похожем деле суд также не усмотрел в действиях ответчика – установление камер видеонаблюдения – нарушения положений законодательства о персональных данных (Определение Третьего кассационного суда общей юрисдикции от 27 января 2021 по делу № 88-235/2021, 2-4082/2019). Третий кассационный суд общей юрисдикции определил, что установка видеокамеры на фасаде дома с направлением на придомовую территорию не свидетельствует о совершении действий по хранению, использованию, распространению сведений о частной жизни истца. Представленные в материалы дела доказательства в виде фотографий фиксируют факт установки камеры, но не подтверждают, что за истцом и членами его семьи велось постоянное видеонаблюдение со стороны ответчика. Суд посчитал, что если видеокамера установлена с целью обеспечения сохранности имущества, а ответчику доступен только тот объем информации, который доступен обычному наблюдателю, то установка такой камеры права истца не нарушает.

Таким образом судебная практика демонстрирует следующий подход. Использование системы видеонаблюдения в многоквартирном доме не является деятельностью по обработке персональных данных, в связи с чем установка таких систем не попадает под положения Закона № 152-ФЗ. Тем не менее, в некоторых ситуациях установка камер видеонаблюдения может быть признана незаконной – например, если их установка не была согласована на общем собрании собственников (Определение Третьего кассационного суда общей юрисдикции от 12 февраля 2020 № 88-2343/2020 по делу № 2-344/2019). Однако такие споры выходят за рамки вопроса о соотношении использования систем видеонаблюдения и соблюдения законодательства о персональных данных.

 

Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019, 16.04.2021

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Автор: юрист и налоговый консультант А. Шмелев © 2001 - 2023

 

Полезные ссылки по теме "Что такое персональные данные"

1. Правомерность переноса выходного дня с 26 на 31 декабря 2020 года решением главы региона

2. Порядок привлечения к дисциплинарной ответственности

3. Повышение пенсионного возраста

4. Образец уведомления об изменении условий трудового договора

5. Дополнительное соглашение к трудовому договору: когда заключается, форма, порядок заключения

6. Сбор персональных данных на сайте

7. Стимулирующие выплаты: премии, бонусы, доплаты и надбавки

8. Согласие на обработку персональных данных

9. Эффективный контракт

10. Различия трудового и гражданско-правового договора

11. Квалификационные требования к водителям

12. Регулирование труда несовершеннолетних работников

13. Рабочее время

14. Ненормированный рабочий день

15. Сверхурочная работа

16. Ошибки в трудовом договоре

17. Правила внутреннего трудового распорядка (образец)

18. Производственный календарь на 2023 год

19. Правовой календарь на 2023 год

20. Расчет пособий ФСС в 2018 - 2023 году

21. Какой порядок предоставления очередного ежегодного оплачиваемого отпуска? Надо ли писать заявление

22. Сгорит ли мой неиспользованный отпуск за прошлый год

23. Отпуск по беременности и родам;

24. Отпуск по уходу за ребенком от рождения до 1,5 лет;

25. Отпуск по уходу за ребенком до 3 лет;

26. В отпуск по новому или о несгораемом отпуске

27. Работа и отпуск в новогодние праздники

28. Если отпуск и праздничные дни совпадают

29. Если во время отпуска по уходу за ребенком вы узнали о том, что работодатель собирается прекратить деятельность

Тэги: персональные данные, что такое