Что не является персональными данными фамилия имя
Что не является персональными данными
Законодательство подробно регламентирует правила работы с данными, которые носят персональный характер. Тот, кто с ними работает, должен выполнять соответствующие правила. При этом необходимо точно знать, что к ним относится, а что не является персональными данными.
Что это такое
Законодательство относит к персональной информации любые сведения, которые имеют отношение к конкретному лицу. Причём речь идёт не только о той, которая прямо относится к нему, но и о любых косвенных данных. Это определение является очень широким. Нужно заметить, что в нём не говорится о том, что данные должны обязательно идентифицировать конкретное лицо.
При таком подходе очень сложно найти ту информацию, которая не подпадает под действие закона.
Для того, чтобы более точно понять, что относится к персональным данным, можно сделать запрос в соответствующую инстанцию за разъяснением. Данным вопросом, как известно, занимается Роскомнадзор.
Был сделан запрос о том, существует ли минимальный набор данных о конкретном человеке, которые можно отнести к персональной информации, идентифицирующей его. Роскомнадзор рассмотрел это обращение и ответил следующее. Был проведён мониторинг законодательства и выяснилось, что существуют десятки нормативных актов, в которых к данным личного характера относят различные перечни информации.
При этом было указано, что данный вопрос рассматривается в большом количестве действующих документов. К ним относятся следующие нормативные акты:
Расширенное понимание того, что относится к таким данным является гораздо более широким по сравнению с тем, что можно ожидать. При этом перечень персональных данных превосходит тот минимальный набор информации, на основании которого можно идентифицировать конкретное физическое лицо.
В связи со сказанным возникает вопрос о необходимости определения более чётких рамок того, что относится к персональной информации, а что в неё не включается. Вопрос о том, включаются ли паспортные данные в эту категорию, имеет утвердительный ответ, но в большинстве случаев вопрос гораздо более сложен.
ВНИМАНИЕ! В научно-практическом комментарии Роскомнадзора указывается, каким подходом нужно руководствоваться в каждом конкретном случае, чтобы определить, что входит в персональные данные. Для этого нужно рассмотреть конкретный перечень персональных данных и решить, является ли представленная совокупность достаточной для того, чтобы провести идентификацию личности.
Если это так, то вся входящая в этот список информация рассматривается в качестве персональной. В случае, когда данное условие не выполняется, эти данные не подпадают под действие соответствующего закона.
Юридические основания
Вопросы о том, какие сведения относятся к рассматриваемой категории рассматриваются в законе № 152-ФЗ, «О персональных данных» от 27 января 2007 года. Основанием для принятия этого нормативного акта является необходимость обеспечения прав и свобод граждан.
В нём применяется очень широкая трактовка того, что представляют собой персональные данные (ПДн). Здесь рассматривается то, какие сведения охраняются, что считается обработкой и по каким правилам она должна происходить.
При этом информация любого характера, имеющая отношение к конкретному лицу подпадает под действие этого закона. Этот нормативный акт регламентирует, то, какая именно обработка такой информации допустима и как она должна храниться.
Что относится к персональной информации
Обычно, когда говорят о том, какая информация относится к ПДн, имеют в виду следующие данные:
Этот список включает в себя основную информацию такого рода, но не является полным.
Кроме того, ПДн можно разделить на несколько разновидностей:
Тут также идёт речь об общедоступной информации, которая не может быть скрыта, потому, что это является требованием законодательства. Сюда, например, включаются данные о доходах, которые получены муниципальными или государственными служащими.
Ко всей перечисленной информации применяются нормы, предусмотренные законом, определяющие её хранение и использование.
Что не входит
Поскольку определение рассматриваемого термина в законе сделано очень расплывчатым, возникает необходимость разобраться в том, что не подпадает под эту категорию. При этом нужно учитывать, что повсеместное использование персональных гаджетов постепенно стирает грань между персональной и общедоступной информацией.
По мере того, как физическое лицо всё в большей степени присутствует в интернете, доступных сведений о нём становится всё больше. При этом юридические определения на эту тему очень расплывчаты. Вот несколько примеров того, что не может рассматриваться в качестве персональных сведений:
В указанных ситуациях можно точно утверждать то, что предоставленные сведения не носят личного характера в отличии, например, от паспортных данных.
Как поступать при неоднозначности
Если речь идёт о ситуациях, в которых сведения могут быть отнесены к ПДн, но по своей сути не носят персонального характера, имеет смысл воспользоваться научно-практическим разъяснением, данным Роскомнадзором. Для того, чтобы прояснить этот подход к проблеме, будет приведён следующий пример.
Если речь идёт о некоем Сергее Валентиновиче Седове, то его имя, если оно приведено отдельно, нельзя рассматривать в качестве ПДн. Это связано с тем, что невозможно по ФИО провести точную и достоверную идентификацию конкретного человека.
С другой стороны. Если к имени добавить должность, адрес электронной почты, номер контактного телефона, то эти данные, взятые в совокупности, способны однозначно указать на конкретного человека.
В упомянутом научно-практическом комментарии вводится понятие идентификатора. Под этим термином понимают код, которая однозначно указывает на конкретного человека. На практике можно говорить о следующих его разновидностях:
Этот список не является исчерпывающим. В него, например, можно включить коды, которые идентифицируют физическое лицо в рамках организаций (табельный номер сотрудника) или при обслуживании (как получателя коммунальных услуг).
К идентификаторам могут относиться сведения, которые позволяют указать на конкретного человека не со стопроцентной точностью, а лишь с высокой вероятностью. К таким наборам данных можно, например, отнести следующее:
Ситуация с электронной почтой является в большинстве случаев неоднозначной. Однако в определённых случаях она может дать возможность идентифицировать владельца. Хотя такая информация общедоступная, работника по ней определить иногда возможно. Такая ситуация возможна, например, когда адрес является корпоративным, а действующие правила требуют указывать фамилию, имя в наименовании.
ВНИМАНИЕ! Важно отметить, что пользователь оставляет в интернете не только информацию об используемом IP-адресе. Многочисленные рекламные службы следят за предпочтениями конкретного пользователя и сохраняют информацию в файлах cookie.
Таким образом формируется совокупность информации, которая вместе с IP-адресом даёт возможность идентифицировать пользователя. Указанные файлы могут подпадать под действие закона о персональных данных.
Ограничения в использовании сведений, имеющих персональный характер, предусмотренные законодательством, направлены на защиту граждан от злонамеренного или небрежного использования личной информации. Она должна получаться и использоваться с разрешения человека и только в тех пределах, которые необходимы организациям и фирмам для выполнения конкретных задач.
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Подробное разъяснение, является ли ФИО персональными данными
Как часто в повседневной жизни мы называем незнакомцам свои имя, фамилию или отчество. Тем самым давая им право на обработку.
В материале мы рассмотрим, ФИО – это персональные данные или нет, а также расскажем, какие законодательство налагает обязательства на обработку такой информации и в каких случаях владельца может защитить закон Российской Федерации.
Законодательные основы
Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте тут, а в этой статье вы найдете примеры персональных данных).
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Являются ли персональными данными?
Фамилия
Роскомнадзор разъясняет, что фамилия физического лица считается его персональными сведениями. Однако не позволяет однозначно назвать субъекта. Есть более и менее распространенные фамилии, так что публикация фамилии гражданина Российской Федерации может в разной степени сократить выборку тех, кому оно гипотетически принадлежит.
Персональные данные в РФ неоднородны, они делятся на четыре категории, и для каждой характерны свои особенности. Если по персональной информации невозможно определить гражданина, которому они принадлежат, ведомости считаются обезличенными. Сведения такого рода хранятся по всем правилам, на бумажных или электронных носителях. Однако субъект персональных сведений не сможет доказать, что распространением ему был нанесен ущерб.
Имя принадлежит человеку, считается его личной информацией, ПД, однако максимально обезличенными. Без уточняющих данных выяснить, кому принадлежит имя, невозможно. Более того, зная имя человека, третье лицо не будет иметь возможность установить дополнительные ведомости.
Отчество
Отчество человека принадлежит физическому лицу, является его персональными сведениями. Входит в категорию обезличенных ведомостей. Под ними понимаются данные, не дающие возможность установить к какому человеку они относятся или что-то еще о нем.
Обезличенные сведения также хранятся в недоступных для третьих лиц местах.
ФИО вместе
Является ли ФИО в целом персональными данными, согласно разъяснениям Роскомнадзора? Да. В Федеральном законе России «О Персональных данных» говорится, что под вышеназванную категорию ведомостей попадает любая информация, принадлежащая физическому лицу. Все ФИО вместе является персональными ведомостями более высокого приоритета, чем указанное отдельно имя или отчество.
В зависимости от конкретных обстоятельств сведения могут иметь более высокий или низкий приоритет. Например, на отдельно взятом предприятии распространение ФИО даст возможность идентифицировать человека, в пределах большого населенного пункта – информация лишь сократит выборку, а если ФИО опубликовано без всякой дополнительной информации, то такие данные станут обезличенными, ведь идентификация не состоится.
Когда эта информация не может относиться к ПД?
В юридической практике это означает следующее – физическое лицо не может обратиться к оператору персональных данных с претензией по распространению таких сведений. Закон не защищает права субъекта, если речь не идет о конфиденциальности.
ФИО гражданина относятся к персональным сведениям, однако в зависимости от ситуации, информация может стать как полностью обезличенной, так и более приоритетной по возможным последствиям для ее владельца.
Что такое персональные данные
Что включает понятие персональные данные
В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.
Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:
Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:
Какое сочетание указанной выше информации дает основание считать ее персональными данными?
Каков минимальный объем информации позволяет считать ее персональными данными?
Является ли фамилия (без указания имени и отчества) персональными данными?
Является ли адрес электронной почты персональными данными?
Каков минимальный объем информации позволяет считать ее персональными данными?
Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?
Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.
Вопрос посложнее: является ли сочетание имя + отчество персональными данными?
Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных», т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.
Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?
Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».
На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).
Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных».
Является ли адрес электронной почты персональным данным?
Судебной практики по этому вопросу найти не удалось.
Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: «. абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу».
Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных» только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.
Являются ли общедоступными персональные данные, размещенные в социальных сетях?
Персональные данные являются общедоступными при выполнении двух условий:
они предоставлены владельцем
доступны неопределенному кругу лиц.
Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).
Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.
В решении суда указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).
Вышестоящие суды согласились с такими выводами, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17; постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017; Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).
В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.
В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.
Использование систем видеонаблюдения
Камеры, входящие в столичную сеть видеонаблюдения, в рамках реализации программы «Умный город» установлены в местах массового скопления людей
По вопросу возможной утечки данных с этих камер Департамент информационных технологий Москвы (ДИТ) сообщает, что пользователями системы городского видеонаблюдения являются правоохранительные органы, государственные и муниципальные учреждения – у каждой категории свой уровень доступа, что позволяет обеспечивать конфиденциальность информации, а также отмечает, что:
Отказывая в удовлетворении требований по одному из исков к ДИТ и ГУ МВД России по г. Москве с требованием о запрете использования системы распознавания лиц в камерах городского видеонаблюдения и о необходимости удаления ее данных из соответствующей базы изображений суд отметил, что:
Таким образом, в отсутствие процедуры идентификации личности видеоизображения граждан не могут считаться биометрическими персональными данными, а значит, их использование не требует получения письменного согласия, необходимого для обработки персональных данных. Указав также, что технология распознавания лиц не является запрещенным способом использования информации ее обладателем, суд отказал в удовлетворении требований истца, и с этим решением впоследствии согласился суд апелляционной инстанции (Решение Савеловского районного суда г. Москвы от 11 ноября 2019 г. по делу № 2а-577/19, Определение Московского городского суда от 30 января 2020 г. № 33а-707/2020).
В другом деле родители пожаловались на школу, которая обрабатывала персональные данные учащихся без получения на это согласия. В постановлении суд прямо указал, что «в связи с использованием системы распознавания лиц учреждение обрабатывает персональные данные посетителей, в числе которых его фотография. Цель обработки указанных персональных данных посетителей учреждения — идентификация лица при пропуске на территорию образовательного учреждения. Таким образом, в учреждении действует биометрическая система идентификации лиц, в том числе, несовершеннолетних, которая позволяет установить личность владельца пропуска по фотоизображению» (Постановление Седьмого кассационного суда общей юрисдикции от 24 июля 2020 г. по делу № 16-2185/2020). Действующим законодательством РФ установлено, что несовершеннолетние не вправе от своего имени давать согласие на обработку персональных данных, в том числе и биометрических. Вместе с тем, закон о персональных данных не исключает возможность получения согласия на обработку биометрических персональных данных несовершеннолетних от их законных представителей (в соответствии с ч. 1, 6 ст. 9 и ч. 1 ст. 11 Закона № 152-ФЗ). Однако в рассматриваемом деле судом не были установлены обстоятельства получения согласия родителей (законных представителей) учащихся на обработку биометрических персональных данных их несовершеннолетних детей. Суд отменил все постановления, дело было отправлено на пересмотр в районный суд.
Представители бизнеса, осуществляющие реализацию своих товаров в торговых залах и других общественных местах, чаще всего устанавливают камеры для борьбы с кражами и мошенническими действиями. Но камеры могут быть установлены для других целей. Если камеры установлены для того, чтобы определять заполняемость помещений в различные периоды рабочего времени, популярность товаров, размещенных в определенном отделе торгового зала, либо степень привлечения внимания потребителей к определенной продукции, то в этом случае через камеры не собираются персональные данные, так как такие записи не направлены на идентификацию физического лица или привязке его изображения с определенными данными. Иными словами, осуществляется обработка обобщенных, а не конкретных данных, привязанных к какому-либо лицу. Но если камеры установлены для идентификации конкретного лица, например, для того чтобы понимать предпочтения и поведение конкретного покупателя, к примеру, если он был идентифицирован через систему лояльности, то такие записи уже будут являться персональными данными. В этом случае для законного использования компаниям необходимо получить согласие от соответствующих клиентов.
Таким образом, для обеспечения законного использования видео-анализа торговых залов необходимо на стадии внедрения определить цели и пределы использования полученных данных, а затем, исходя из желаемых операций с данными, уже необходимо определять те юридические меры, которые могут быть необходимыми с точки зрения законодательства о персональных данных.
Системы видеонаблюдения используют и в многоквартирных домах для защиты частной территории дома.
В одном деле собственники квартиры пытались добиться от ТСЖ демонтажа камер видеонаблюдения и выплаты компенсации морального вреда, считая такую установку и организацию видеонаблюдения незаконными, нарушающими их личные права на тайну частной жизни (Определение Восьмого кассационного суда общей юрисдикции от 19 ноября 2019 № 88-100/2019). Ответчик вину не признал, указав, что видеокамеры были установлены на основании решения общего собрания собственников помещений многоквартирного дома, в сторону квартиры собственников квартиры видеокамеры не направлены, и входная дверь квартиры не попадает в зону видеофиксации. Восьмой кассационный суд общей юрисдикции оставил без удовлетворения жалобу истцов, определив, что суды нижестоящих инстанций обоснованно не усмотрели в действиях ответчика нарушения прав на неприкосновенность частной жизни и защиту персональных данных. Свое решение суд обосновал позицией, согласно которой право истцов не было нарушено, поскольку установленные ответчиками камеры видеонаблюдения не способны фиксировать состояние внутренних помещений квартиры истцов, а факт размещения в общедоступном месте камер видеонаблюдения не является деятельностью по обработке персональных данных.
В другом похожем деле суд также не усмотрел в действиях ответчика – установление камер видеонаблюдения – нарушения положений законодательства о персональных данных (Определение Третьего кассационного суда общей юрисдикции от 27 января 2021 по делу № 88-235/2021, 2-4082/2019). Третий кассационный суд общей юрисдикции определил, что установка видеокамеры на фасаде дома с направлением на придомовую территорию не свидетельствует о совершении действий по хранению, использованию, распространению сведений о частной жизни истца. Представленные в материалы дела доказательства в виде фотографий фиксируют факт установки камеры, но не подтверждают, что за истцом и членами его семьи велось постоянное видеонаблюдение со стороны ответчика. Суд посчитал, что если видеокамера установлена с целью обеспечения сохранности имущества, а ответчику доступен только тот объем информации, который доступен обычному наблюдателю, то установка такой камеры права истца не нарушает.
Таким образом судебная практика демонстрирует следующий подход. Использование системы видеонаблюдения в многоквартирном доме не является деятельностью по обработке персональных данных, в связи с чем установка таких систем не попадает под положения Закона № 152-ФЗ. Тем не менее, в некоторых ситуациях установка камер видеонаблюдения может быть признана незаконной – например, если их установка не была согласована на общем собрании собственников (Определение Третьего кассационного суда общей юрисдикции от 12 февраля 2020 № 88-2343/2020 по делу № 2-344/2019). Однако такие споры выходят за рамки вопроса о соотношении использования систем видеонаблюдения и соблюдения законодательства о персональных данных.
Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019, 16.04.2021
Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.