Является ли ФИО персональными данными

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Является ли ФИО персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Понятие персональных данных

Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Законодательные основы

Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте , а в этой статье вы найдете примеры персональных данных).

Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.

В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.

Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.

Законодательные основы

Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте тут, а в этой статье вы найдете примеры персональных данных).

Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.

В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Позиция регулятора и судов

Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.

Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.

По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.

В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.

Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:

Это значит, что обработка ФИО должна происходить по тем же правилам и с применением тех же технических и программных средств, что и обработка остального массива конфиденциальной информации, прямо или косвенно относящейся к личным сведениям граждан.

Суды неоднократно обращали внимание операторов на невозможность разглашения любых персональных данных без разделения их на группы по степени идентификации личности.

Безусловно признавая отнесение ФИО к персональным данным, регулятор не готов предоставить операторам более легкие условия по обеспечению их конфиденциальности, чем для других групп сведений, за исключением отдельных категорий данных, относящихся к более высоким уровням защиты, например, биометрическим или медицинским данным. При этом споры о классификации ФИО продолжаются, возможно, законодатель изменит свою позицию в этом вопросе.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Федеральный закон от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
3. Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».
4. Апелляционное определение СК по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу N 11-17136.
5. Апелляционное определение СК по гражданским делам Санкт-Петербургского городского суда от 15 июля 2013 г. по делу N 33-10329/13.
6. Определение Санкт-Петербургского городского суда от 26 марта 2013 г. N 33-3815/13.
7. Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14.

Что включает понятие персональные данные

В связи с тем, что Закона о персональных данных понятие имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства и адрес фактического проживания;
• (домашний, мобильный);
• данные документов об образовании, , профессиональной подготовке, сведения о повышении квалификации;
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и законодательством;
• отношение к воинской обязанности;
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• ;
• ;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
• сведения о в ООО «Ромашка»;
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

• Какое сочетание указанной выше информации дает основание считать ее персональными данными?

• Каков минимальный объем информации позволяет считать ее персональными данными?

• Является ли фамилия (без указания имени и отчества) персональными данными?

• Является ли адрес электронной почты персональными данными?

Хранение ПДн и механизм защиты

В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:

• Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
• Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
• Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.

Хранение ПДн и механизм защиты

В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:

• Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
• Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
• Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.

Основные положения закона

Широкое понятие о персональных данных включает всю информацию о человеке

Примечательно, что государство не разграничило понятие «личностных данных», то есть под понятие ПД могут попасть любые сведения, касающиеся жизни человека, состояния его здоровья и прочие.

Юристы считают, что этот закон не доработан, а значит, понятие «личная информация» можно классифицировать, как угодно. То есть строгих ограничений нет. Так, если данные касаются человека, его личной жизни, помогают установить с ним контакт, то ее можно классифицировать, как частную. Отношения между организацией, физическим лицом и гражданином регламентируются ФЗ.

Проект запрещает:

1. Предавать сведения огласке, предоставлять их третьим лицам.
2. Использовать с целью получения выгоды.
3. Пользоваться данными, преследуя свои цели, в стремлении отомстить или опорочить гражданина.

Все это нарушает нормы законодательства РФ. Но в определенных случаях, когда гражданин считается преступником, его ПД могут быть предоставлены блюстителям порядка. Что также не считается нарушением законодательства нашей страны.

1. О базе номеров телефонов

Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) – это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из этого следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому если юридическое лицо формирует базу телефонных номеров без сопоставимого перечня ФИО/адреса проживания, то такое юридическое лицо не считается обрабатывающим персональные данные. На такой вид деятельности не распространяются ограничения, связанные с обработкой персональных данных.

Похожие записи:

• Статья 158 Уголовного Кодекса Российской Федерации
• Расписка об отсутствии претензий при и как ее написать?
• Эксперт предупредил о поспешности решения присоединить СНТ к населённому пункту