Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Являются ли номер телефона и адрес электронной почты персональными данными?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Согласно Закону «О связи», принятому в 2003 году, если абонента можно каким-либо образом идентифицировать по номеру телефона, то для рассылки рекламы и других действий требуется его согласие. Именно поэтому действия многих фирм, занимающихся рассылкой спама посредством СМС и холодных звонков, являются незаконными. И если мы можем легко заблокировать или отписаться от спама в электронной почте, SMS-сообщения не предоставляют такой возможности. Что делать, если вам настойчиво звонят и рекламируют продукцию компании, которой вы никогда не оставляли свой номер мобильного?
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).
Однако из данного правила есть исключение.
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).
Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.
На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.
Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.
Выводы
Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.
1. О базе номеров телефонов
Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) – это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из этого следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Поэтому если юридическое лицо формирует базу телефонных номеров без сопоставимого перечня ФИО/адреса проживания, то такое юридическое лицо не считается обрабатывающим персональные данные. На такой вид деятельности не распространяются ограничения, связанные с обработкой персональных данных.
Правомерно ли использовать для рассылки?
В Законе №126-ФЗ “О связи” от 7 июля 2003 года, в статье 44.1 (изменения которого вступили в силу 21 октября 2014 года), говорится, что на номер, по которому можно определить личность пользователя при наличии доп. сведений, требуется согласие на обработку и рассылку рекламной информации.
Осуществление операций с мобильными номерами в рекламных целях или во время опроса жителей является безличным набором цифр и не может быть определителем субъекта ПД, если осуществляется без указания:
Так как, сохраняется полная анонимность при проведении данной процедуры ㅡ это не считается обработкой личной информации конкретного субъекта ПД.
Бизнес по СМС-рассылкам основывается на трех главных законах:
По Закону есть дополнительные ограничения на использование личной информации во время продвижения услуг и товаров посредством телефонных звонков и СМС-рассылок. Наличие базы контактов и адресов почты разрешается с согласия клиентов.
Субъект ПД может в любой момент отозвать соглашение, и оператор по обработке контактов должен удалить все данные. Вопросы возникающие касательно входящих звонков/сообщений рекламного характера (предоставления услуг), входит в полномочия органа Федеральной Антимонопольной Службы (ФАС).
Список требований на согласие о получении СМС-сообщений:
Телефон и адрес электронной почты как персональные данные
Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).
Таким образом, номер телефона и адрес электронной почты будут являться персональными данными, если они зарегистрированы на определенное физическое лицо, что позволит идентифицировать конкретного человека.
Когда кредитные деньги попадают под банковскую тайну
С учетом внутренних инструкций каждого банка кредитные средства (кредиты), предоставляемые гражданам, могут выдавать в виде:
В первом варианте банковская тайна при кредите не всегда распространяется на информацию о получении займа физическим лицом и на данные о его погашении. Это зависит от того, насколько полно банк истолковывает понятие тайны вклада для своих клиентов.
В двух других случаях конфиденциальными данными является информация о существовании банковского депозита или счета и операциях, которые совершаются в его пределах. Эти сведения, несомненно, относятся к разряду «банковская тайна».
В соответствии с ФЗ-395-1 от 02.12.90 «О банках и банковской деятельности» (статья 26) указанная информация относится к финансовым операциям, поэтому всем очевидно, что это банковская тайна.
Из вышеизложенного следует вывод: на основании Гражданского кодекса РФ (ст. 857) и закона о банках (ст. 26) данные о выдаче кредита считаются банковской тайной.
Можно ли давать чужой номер телефона без согласия?
Что касается Вашего вопроса по поводу передачи информации третьим лицам, то следует сказать, что своими действиями, Вы нарушаете тайну персональных данных человека, таким образом все это может подпасть под уголовно-наказуемое деяние, предусмотренное статьей 137 УК РФ, конечно для состава нужны еще ряд факторов, но если Вас начнут вызывать по обвинению, то вряд ли будет спокойно на душе, поэтому лучше избегать действий, которые Вы совершили на будущее .
Вам необходимо было, желательно в письменном виде, взять согласие лиц, чьи данные вы передаете третьему лицу, о том, что они действительно не против такового. Это предусмотрено Федеральным законом № 152, в части ст. 7. Необходимо уберечь Вас от наказания, которое предусмотрено законодательством в области нарушений закона о персональных данных.
Следует сказать, что помимо уголовного кодекса, есть составы отдельных действий с персональными данными, которые подпадают под административную ответственность. Так Кодекс об административных правонарушениях РФ в ст.13.11 предусматривает наказание, в виде наложение административного штрафа.
ПОЛЕЗНО: также читайте, что грозит за разглашение персональных данных по ссылке на нашем сайте
Стоит ли опасаться слежки
Следует понимать, что о тотальной слежке за каждым абонентом речь не идёт, так как на это не хватит ни оборудования, ни сотрудников. В основном такая информация хранится обезличено в специальном массиве. Данные о конкретном абоненте вынимаются только по официальному запросу от правоохранительных органов.
Обезличенная информация собирается и автоматически сортируется по различным фильтрам. Это позволяет создавать опросные группы и предлагать клиентам выгодные для них условия обслуживания.
На основе данных, собранных мобильными операторами, можно понять, где население нуждается в дополнительных магазинах, больницах или школах. Кроме того, именно операторы мобильной связи могут быстрее узнать о пробках на дороге, чем сотрудники ГИБДД.
Но нужно понимать, что статистическую информацию весьма охотно покупают финансовые учреждения, застройщики и разные торговые сети. Именно поэтому мы часто сталкиваемся со спамной рассылкой и звонками.
Сведения, получаемые спецслужбами, помогают предотвратить теракты. Однако для многих людей вмешательство в личную жизнь – это не просто неприятно, но и неприемлемо.
Позиция регулятора и судов
Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.
Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.
По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.
В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.
Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:
- если сведения относятся к общедоступным;
- если они используются в целях статистики.
Можно ли давать чужой номер телефона без согласия?
Что касается Вашего вопроса по поводу передачи информации третьим лицам, то следует сказать, что своими действиями, Вы нарушаете тайну персональных данных человека, таким образом все это может подпасть под уголовно-наказуемое деяние, предусмотренное статьей 137 УК РФ, конечно для состава нужны еще ряд факторов, но если Вас начнут вызывать по обвинению, то вряд ли будет спокойно на душе, поэтому лучше избегать действий, которые Вы совершили на будущее .
Вам необходимо было, желательно в письменном виде, взять согласие лиц, чьи данные вы передаете третьему лицу, о том, что они действительно не против такового. Это предусмотрено Федеральным законом № 152, в части ст. 7. Необходимо уберечь Вас от наказания, которое предусмотрено законодательством в области нарушений закона о персональных данных.
Следует сказать, что помимо уголовного кодекса, есть составы отдельных действий с персональными данными, которые подпадают под административную ответственность. Так Кодекс об административных правонарушениях РФ в ст.13.11 предусматривает наказание, в виде наложение административного штрафа.
На самом деле понятие приватности для пользователей интернетом и мобильной связью весьма расплывчато. Мобильные операторы знают о своих клиентах довольно много. И при необходимости любой сотрудник может составить личное дело на того или иного абонента, отыскав его в базе по ФИО, адресу или номеру телефона.
Если вы хотите избежать слежки, то выход один, вообще отказаться от мобильной связи. Лучше для звонков пользоваться виртуальным номером и выходить в интернет через VPN.
Нужно также обратить внимание на то, что покупать сим-карты с рук на улице или в ларьках бесполезно. В любом случае на абонента должна быть заполнена анкета, то есть всё равно придётся предоставлять копии документов. Если номер регистрируется на анонимного абонента, то он блокируется через 10 дней после активации.
Как вариант приобрести мобильник, который работает по спутниковой связи. Такие сотовые устройства обеспечивают конфиденциальность, но стоимость подобных услуг очень высока. Однако, если слежки не хочется, то стоит задуматься о спутниковой связи, что поделать, приватность в современном мире ценится очень высоко.
Почему возникает вопрос, являются ли ФИО персональными данными гражданина
Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.
Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
Однако оба довода являются спорными.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.