Может ли оператор разглашать мои персональные мобильные данные? ""
Prokurors.ru

Юридический портал

Может ли оператор разглашать мои персональные мобильные данные?

Персональные данные шире, чем вы думали: номер телефона и email

Правительство отнесло e-mail и номер телефона к персональным данным.

Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании “Рафиков и Партнёры”. В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.

Время прочтения: 1,5 мин.

13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

Что является персональными данными?

Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию . Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).

Номер телефона и e-mail — персональные данные?

Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма “Он вам не Димон”. Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

Система идентификации граждан и “скоринг”

Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring – подсчет очков).

К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:

“Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.”

Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.

Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое “прайваси” или “right to privacy”).

За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

С этими персональными данными – просто беда.

Уже три года пытаюсь перезапустить свой маркетплейс, на который потратил более 35 тысяч евро чужих и своих денег, и каждый раз спотыкаюсь на этих ПД !

Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.

А в закон разве требует хранить данные только на территории РФ?

Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.

Верно. Если данные россиян, то серверы должны находится на территории РФ.

необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Вот это обязательные шаги для интернет магазинов?

Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки “согласен” не достаточно — нужно смотреть текст документа.

Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.

Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении

Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.

Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными.

1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).

2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.

3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.

Операторы заблокируют симкарты и отрубят интернет анонимным абонентам

Операторы связи могут заблокировать услуги абонентам, которые не подтвердят свои персональные данные. Раньше не было регламента, по которому абоненты и операторы обменивались запросами и документами. Теперь появились правила, которые всё объясняют, — они заработают с 4 ноября 2017 года.

И хотя по бумагам теперь понятно, как подтверждать личность, на практике это сделать или сложно, или вообще пока нельзя.

Если абонент не подтвердит личность, его могут запросто оставить без связи — просто отключат через 15 дней. Решение суда не понадобится.

Почему операторы могут блокировать абонентов?

Такое право есть у них по закону о связи. Эта норма работала и раньше: операторы могли блокировать абонентов, у которых данные в договоре не совпадали с фактическими. Не было только правил, по которым операторы должны запрашивать эти подтверждения, а абоненты — их отправлять.

Официально у абонента есть 15 дней, чтобы подтвердить свои данные после запроса.

О каких запросах речь? Кого интересуют персональные данные абонентов?

Пока в законе идет речь о запросах от оперативных и правоохранительных органов. Они для каких-то своих целей делают запрос операторам. Мол, пусть абонент подтвердит, что он и есть тот самый Иванов Иван Иванович, на которого оформлена симкарта.

Никто заранее не знает, кому и по какой причине отправят такой запрос. Это не значит, что абонент преступник или террорист. Оператор обязан отреагировать на такой запрос, запросить данные у абонента и передать ответ.

С 1 июня 2018 года такие запросы операторам связи сможет отправлять и Роскомнадзор. Если ведомство захочет выявить реального владельца сайта или автора поста в соцсети, оно сделает это через сотового оператора.

А почему договора недостаточно?

Даже если в договоре есть данные абонента, фактическим владельцем симкарты может быть кто-то другой. Оператор захочет знать, кто на самом деле звонит или отправляет сообщения с этого номера.

А если договор не заключен, а симкарта активна, придется сообщить, кто ею пользуется. Такое возможно, если вы пользуетесь анонимной симкартой, которую купили у метро или в торговом центре.

Сначала читать, потом подписывать

Это касается только мобильной связи?

Нет, стационарной связи тоже. Отключить могут и домашний телефон. Еще проверка касается услуг интернет-провайдеров. Если абонент не подтвердит персональные данные в договоре, останется без интернета, электронной почты и мессенджеров.

Как абоненты получат запрос от оператора?

Сначала запрос получит сам оператор. У него есть три дня, чтобы запросить у вас персональные данные.

Вот какими способами это можно делать:

  • по смс;
  • через автоматический обзвон;
  • по электронной почте, если у оператора есть адрес;
  • в личном кабинете.

Оператор отправит запрос и будет ждать документов от абонента.

Как подтверждать персональные данные?

Нужно отправить оператору копию документа, подтверждающего личность. Причем делать это надо не как захочется, а по правилам. Иначе ответ не засчитают и связь отключат.

Читать еще:  Почему меня лишили прав, если я был абсолютно трезв?

Вот как можно подтвердить личность.

Напрямую у оператора. Любой салон связи не подойдет. Где можно представить документы, нужно уточнять у оператора. Понадобится оригинал и личное присутствие.

Через личный кабинет на сайте оператора. Документ нужно заверить усиленной квалифицированной электронной подписью. Эту подпись еще нужно заранее получить — она платная.

Через госуслуги, если там есть учетная запись. Пока непонятно, как этот документ получат операторы. Они еще не интегрировались в общую систему и не могут видеть документы, которые абоненты присылают через госуслуги. Наверное, этот вопрос будут как-то решать. Пока не решат, способ не сработает.

А если ничего не отправлять, что тогда будет? Я не хочу ничего подтверждать.

Если придет запрос, придется подтверждать личность. Это обязанность абонента по правилам в новой редакции. И делать это надо именно теми способами, которые описаны в правилах, а не как угодно. Это тоже обязанность.

В запросе оператора будет указан срок отключения. За три дня до этой даты напомнят еще раз. Потом заблокируют доступ к услугам связи.

У меня симкарта оформлена на родственника. Можно прислать копию его паспорта в ответ на запрос?

Нет. Суть запроса в том, чтобы абонент подтвердил, что договор оформлен именно на того человека, который пользуется услугами. Он должен сам подтвердить свою личность. Копия паспорта мамы, бывшего мужа или неизвестного человека из интернета проблему не решит. Отправить оператору чужой документ и заверить его своей подписью нельзя.

Должны совпадать все данные: в договоре, документах, личном кабинете, электронной подписи. Если что-то не совпадает, нужно переоформить договор на фактического владельца.

Вдруг я не получу запрос или не смогу ответить вовремя? Мало ли, уеду в отпуск или нет электронной подписи.

В правилах ничего нет на этот счет. Скорее всего, оператор подождет, сколько сможет по закону. А потом заблокирует услуги, чтобы избежать проблем.

Но это же не значит, что у всех начнут требовать подтверждения персональных данных?

Никто не знает, у кого, когда и зачем потребуют. Лучше подготовиться.

У меня корпоративный тариф. Мои данные не смогут передать?

Скоро смогут. 1 июня 2018 года вступит в силу поправка в закон о связи на этот счет. Если абонент юрлицо или ИП , а симкарты оформлены на сотрудников, их персональные данные можно передавать без согласия.

Что нужно делать сейчас, чтобы вовремя ответить на запрос и не остаться без связи?

Проверьте, на кого зарегистрирована симкарта, договор с провайдером и домашний телефон. Наведите порядок в документах.

Зарегистрируйтесь на госуслугах. Рано или поздно операторы связи к ним подключатся и система заработает.

Заведите ЭЦП . Вам нужна усиленная квалифицированная электронная подпись. Простая и неквалифицированная не подойдет. Мы скоро расскажем, как оформить электронную подпись, зачем она нужна и сколько стоит.

Следите за уведомлениями от оператора, чтобы не пропустить запрос.

Ситуацией могут воспользоваться мошенники, чтобы получить копию вашего паспорта или еще как-то обмануть. Следите, на какие запросы отвечаете и куда отправляете документы.

Может ли оператор разглашать мои персональные мобильные данные?

Обращения в сфере персональных данных

Обращения в сфере персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган – федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 вышеуказанной статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: После удаления своего аккаунта из социальной сети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в социальной сети о лице, давно удалившемся из нее?

Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 Федерального закона «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.

Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 1 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

3) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг”, для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

9) осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Вопрос: Является ли обработкой персональных данных поступление СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

Читать еще:  Требуется ли согласие супруга на приобретение земельного участка?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Вопросы, связанные с поступлением сообщений (звонков) рекламного характера (предоставления услуг), входят в компетенцию органа, осуществляющего государственный контроль по вопросам распространения рекламы в сетях электросвязи, Федеральной антимонопольной службы (ФАС). Для прекращения дальнейшего использования номера телефона в рекламных целях (в частности, распространения рекламы в сетях электросвязи), целесообразно обратиться в ФАС.

Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору, должна администрация предприятия, на котором работает субъект персональных данных.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

– неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

– нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);

– разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

– непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Время публикации: 24.07.2014 10:37
Последнее изменение: 24.07.2014 12:40

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Читать еще:  Нужен ли брачный договор для покупки земли?

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Персональные данные шире, чем вы думали: номер телефона и email

Правительство отнесло e-mail и номер телефона к персональным данным.

Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании “Рафиков и Партнёры”. В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.

Время прочтения: 1,5 мин.

13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

Что является персональными данными?

Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию . Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).

Номер телефона и e-mail — персональные данные?

Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма “Он вам не Димон”. Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

Система идентификации граждан и “скоринг”

Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring – подсчет очков).

К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:

“Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.”

Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.

Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое “прайваси” или “right to privacy”).

За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

С этими персональными данными – просто беда.

Уже три года пытаюсь перезапустить свой маркетплейс, на который потратил более 35 тысяч евро чужих и своих денег, и каждый раз спотыкаюсь на этих ПД !

Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.

А в закон разве требует хранить данные только на территории РФ?

Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.

Верно. Если данные россиян, то серверы должны находится на территории РФ.

необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Вот это обязательные шаги для интернет магазинов?

Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки “согласен” не достаточно — нужно смотреть текст документа.

Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.

Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении

Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.

Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными.

1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).

2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.

3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.

Ссылка на основную публикацию
"
×
×
"
Adblock
detector