Являются ли номер телефона и адрес электронной почты персональными данными?
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Являются ли номер телефона и адрес электронной почты персональными данными?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Согласно Закону «О связи», принятому в 2003 году, если абонента можно каким-либо образом идентифицировать по номеру телефона, то для рассылки рекламы и других действий требуется его согласие. Именно поэтому действия многих фирм, занимающихся рассылкой спама посредством СМС и холодных звонков, являются незаконными. И если мы можем легко заблокировать или отписаться от спама в электронной почте, SMS-сообщения не предоставляют такой возможности. Что делать, если вам настойчиво звонят и рекламируют продукцию компании, которой вы никогда не оставляли свой номер мобильного?
Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).
Однако не забывайте о возможных исключениях из данного правила.
Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).
Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).
В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).
Ответственность за распространение номера телефона и адреса электронной почты
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
- на граждан в размере от 6 000 до 10 000 руб.;
- на должностных лиц — от 20 000 до 40 000 руб.;
- на юридических лиц — от 30 000 до 150 000 руб.
Повторное совершение указанного административного правонарушения влечет наложение административного штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан в размере от 10 000 до 20 000 руб.;
- на должностных лиц — от 40 000 до 100 000 руб.;
- на индивидуальных предпринимателей — от 100 000 до 300 000 руб.;
- на юридических лиц — от 300 000 до 500 000 руб.
Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).
Подготовлено на основе материала
В.И. Неклюдова
Государственная инспекция труда
в Нижегородской обл.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Относится ли сотовый к сведениям о гражданине или нет?
Абонентский номер (номер телефона) ㅡ это сочетание цифровых знаков, который определяется клиенту мобильной связи во время заключения с ним договора о предоставлении услуг сотовой связи. Набор цифрового кода обеспечивает возможность выделить и идентифицировать устройство в сети связи для соединения с абонентом.
Таким образом код состоящий из цифр не может быть достаточной информацией, чтобы иметь возможность обозначить и идентифицировать абонента (субъекта персональных данных). Использование номера не может быть расценено как обработка ПД его конечного пользователя.
Стоит разделять просто номер телефона и номер телефона в дополнении с другими сведениями владельца. В сочетании с фамилией, именем и отчеством, по которым можно определить пользователя, ситуация несколько меняется. Хранение и использование контактов с ФИО абонента будет считаться как обработка ПД человека.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Является ли номер телефона персональными данными
В соответствии со статьей 7 Федерального закона « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица (далее-Закон), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В настоящее время все чаще номера телефонов передаются и используются без согласия абонента, так как в законодательстве четко не указано, что они являются персональными данными.
Казалось бы, набор цифр номера телефона никак не может персонифицировать субъекта персональных данных, он полностью обезличен. Но добавьте к этим цифрам ФИО и ситуация в корне изменится. Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится.
Но ст. 3 Закона также вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Сам по себе номер телефона без указания сведений о его владельце, является информацией обезличенной, то есть набор цифр нельзя признать персональной информацией.
А вот если номер телефона использован с указанием на ФИО его владельца, то такая информация уже носит характер конфиденциальной, и может быть использована только с согласия субъекта персональных данных на обработку его персональных данных.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например на рассылку рекламной информации.
Выводы:
1. Номер телефона является персональными данными;
2. Передача персональных данных третьим лицам без согласия субъекта персональных данных незаконна;
3. Использование номеров телефонов в случае отсутствия дополнительных сведений об их владельцах также требует согласия.
Банковская тайна при кредите
Если заемщик не платит по кредиту и нарушает график погашения долгов, при этом уклоняясь от общения с банком, тот начинает его искать. Обычно должников расстраивает то, что их финансовые проблемы становятся предметом обсуждения общественности – сотрудников, начальства, соседей, близких и др.
Они пишут гневные письма в народный рейтинг, которые, к сожалению, необоснованны. Все дело в том, что банковская тайна при кредите действует только для вкладчиков с расчетным счетом в банке. Заемщики вообще не имеют кредитного счета. А термин «кредитная линия» не играет роли и не обязывает учреждение хранить тайны таких клиентов.
В действительности банк открывает локальный ссудный счет, принадлежащий учреждению. А погашение долга идет в адрес кредитора, а не на мнимый «кредитный счет» клиента.
ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации
№ 8274/09 от 17.11.2009
Положение «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ» (утв. Центробанком России № 302-П от 26.03.2007) определяет, что условие для выдачи и погашения кредита (т. н. кредиторская обязанность банка) – это открытие ссудного счета и его ведение самой финансовой организацией.
Подобные счета не входят в группу банковских и показывают в их балансе создание и погашение ссудной суммы. Иными словами, операций по выдаче кредитов и возврату денег, согласно оформленным кредитным договорам.
Выходит, что действия финансового учреждения по управлению ссудными счетами нельзя расценивать как отдельную услугу банка. А ссудный счет клиента является всего лишь внутренним ресурсом банка, который вообще не связан с заемщиком. Он создан для контроля его кредиторской задолженности, которая для самого банка будет дебиторской.
Таким образом, счет заводят не для заемщика, а только для ведения учета операций. Примерно так же предприятия учитывают дебиторские долги по счету 62, 76 и др. Согласно бухучету ВСЕ клиентские счета кредитного учреждения фигурируют в ПАССИВЕ банковского баланса.
Статья 11 Налогового кодекса РФ (пункт 2) гласит, что «под счетами понимаются расчетные (текущие) и иные счета в банках, открытые на основании договора банковского счета, на которые зачисляются и с которых могут расходоваться денежные средства организаций и индивидуальных предприятий». Итак, при оформлении кредита ДЕНЬГИ ПОСТУПАЮТ на счет заемщика. Тут же ИДЕТ дебетовая ПРОВОДКА по счету ссуды. Становится очевидным, что ссудный счет не попадает под свое определение в статье 11 (пункт 2). Это – с правовой позиции.
Выходит, что банк заводит ссудный счет БЕЗ СПРОСА, НА ОСНОВАНИИ локальных документов и во исполнение своих инструкций по бухучету и предоставлению услуг.
Положение Банка России № 385-П от 16.07.2012
«О правилах ведения бухучета в кредитных организациях, расположенных на территории РФ» (последний вариант)
№ 455 «Кредиты и прочие средства, предоставленные физлицам»
Активные счета, предназначенные для контроля задолженности по кредитам, другим вложенным средствам согласно графику погашения; для контроля долгов по прочим средствам, которые выданы клиентам; по кредитам, одобренным при нехватке денег на текущем счете (по «овердрафту»), и пассивные счета, где учтены ресурсы на возможные убытки.
При предоставлении человеком персональных данных Банк (например, Сбербанк) предлагает ему дать согласие на их обработку. Его суть в том, что он соглашается на любые действия с его информацией в рамках законодательства РФ. Это значит, что документ гарантирует безопасность персональной информации от неправомерных действий, а также ее использование для строго определенных целей.
Обработка данных включает в себя:
Банк имеет возможность использовать персональные данные в случае предоставления клиенту какой-либо информации, как по просьбе самого клиента, так и его по собственной инициативе.
Хранение предоставляемых сведений личного характера предусмотрено до истечения их срока, которые регламентируются законодательством (ст.5 закона “О персональных данных”). Максимального срока хранения содержащихся в банках данных нет, но, по большей части, они подлежат хранению в течение пяти лет с момента исполнения обязательств или до самостоятельного отзыва клиента (больше информации о сроках хранения ПД найдете здесь).
Что имеется ввиду под понятием обработки ПД мы рассказывали тут.
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Позиция регулятора и судов
Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.
Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.
По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.
В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.
Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:
- если сведения относятся к общедоступным;
- если они используются в целях статистики.
Можно ли давать чужой номер телефона без согласия?
Что касается Вашего вопроса по поводу передачи информации третьим лицам, то следует сказать, что своими действиями, Вы нарушаете тайну персональных данных человека, таким образом все это может подпасть под уголовно-наказуемое деяние, предусмотренное статьей 137 УК РФ, конечно для состава нужны еще ряд факторов, но если Вас начнут вызывать по обвинению, то вряд ли будет спокойно на душе, поэтому лучше избегать действий, которые Вы совершили на будущее .
Вам необходимо было, желательно в письменном виде, взять согласие лиц, чьи данные вы передаете третьему лицу, о том, что они действительно не против такового. Это предусмотрено Федеральным законом № 152, в части ст. 7. Необходимо уберечь Вас от наказания, которое предусмотрено законодательством в области нарушений закона о персональных данных.
Следует сказать, что помимо уголовного кодекса, есть составы отдельных действий с персональными данными, которые подпадают под административную ответственность. Так Кодекс об административных правонарушениях РФ в ст.13.11 предусматривает наказание, в виде наложение административного штрафа.
Стоит ли опасаться слежки
Следует понимать, что о тотальной слежке за каждым абонентом речь не идёт, так как на это не хватит ни оборудования, ни сотрудников. В основном такая информация хранится обезличено в специальном массиве. Данные о конкретном абоненте вынимаются только по официальному запросу от правоохранительных органов.
Обезличенная информация собирается и автоматически сортируется по различным фильтрам. Это позволяет создавать опросные группы и предлагать клиентам выгодные для них условия обслуживания.
На основе данных, собранных мобильными операторами, можно понять, где население нуждается в дополнительных магазинах, больницах или школах. Кроме того, именно операторы мобильной связи могут быстрее узнать о пробках на дороге, чем сотрудники ГИБДД.
Но нужно понимать, что статистическую информацию весьма охотно покупают финансовые учреждения, застройщики и разные торговые сети. Именно поэтому мы часто сталкиваемся со спамной рассылкой и звонками.
Сведения, получаемые спецслужбами, помогают предотвратить теракты. Однако для многих людей вмешательство в личную жизнь – это не просто неприятно, но и неприемлемо.
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.