Содержание
ФЗ "О персональных данных" указывает:
"персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".
Федеральный закон от 27 июля 2006 г. N 152-ФЗ
"О персональных данных"
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Конечно являются, ведь они принадлежат персонально человеку. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) "О персональных данных"
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.
Факт № 1. Закон не содержит конкретного перечня
В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.
Факт № 2. ПДн бывают трех видов
Факт № 3. Судебная практика по ПДн
Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:
- Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
- Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью. - Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными. - Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
- Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
- Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
- Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
- Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).
Применительно к отнесению данных к персональным важно понимать еще два момента:
- Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
- Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).
Факт № 4. Более сложные материи
Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.
-
Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).
При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).
Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).
Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.
Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.
Гражданское, налоговое, процессуальное и иные отрасли законодательства для индивидуализации физических лиц используют имя, включающее фамилию, имя и отчество гражданина, и место его жительства или пребывания. Вместе с тем требования Закона о персональных данных учитываются при регулировании всех видов общественных отношений.
Почему адрес места жительства (пребывания и регистрации) относится к персональным данным
Ст. 152.2 ГК РФ конкретно определяет, что информация о месте пребывания и месте жительства относится к частной жизни гражданина, на обработку которых необходимо согласие субъекта.
Что гласит закон
Согласно ч. 1 ст. 3 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является персональными данными.
Судебная практика
- Пленум Верховного Суда РФ, давая разъяснения судам в целях обеспечения правильного и единообразного применения судами норм уголовно-процессуального законодательства, в абзаце втором п. 17 Постановления от 29.06.2010 № 17 «О практике применения судами норм, регламентирующих участие потерпевшего в уголовном судопроизводстве» указывает, что по смыслу Федерального закона от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» под персональными данными следует понимать любую информацию, относящуюся к определяемому на основании ее потерпевшему, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию.
- При этом в указанном пункте Верховный Суд РФ разъясняет судам, что в целях защиты прав и обеспечения безопасности потерпевшего его персональные данные подлежат исключению из текста судебного решения. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать личность потерпевшего. Указанное разъяснение направлено на исключение возможности доступа к персональным данным потерпевшего неограниченного круга лиц.
Общий вывод
Таким образом, адрес места жительства (пребывания) относится к персональным данным, на обработку которых необходимо согласие субъекта.