Является ли ФИО персональными данными разъяснения роскомнадзора

Закон № 152-ФЗ не дает полного перечня информации, относимой к персональным данным. Вопрос, подходят ли под эту категорию ФИО, является дискуссионным. Существует мнение, что фамилию, имя и отчество гражданина можно признать персональными данными только когда позволяют полностью идентифицировать человека. Позиции контролирующих органов и законодателя в этом случае не всегда выражены конкретно.

Понятие персональных данных

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.

В каких случаях ФИО относятся к персональным данным

Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.

Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.

В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

  • сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
  • в одной организации могут работать несколько сотрудников с одинаковыми именами;
  • ФИО общедоступны, в отличие от других сведений о гражданах.

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

  • обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
  • вариативность, или возможность изменить метод обезличивания в процессе обработки;
  • стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
  • возможность косвенного деобезличивания в едином массиве с данными других операторов;
  • совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
  • небольшой параметрический объем;
  • возможность контроля качества данных.

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

  • метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
  • изменение семантики, при котором удаляется или заменяется часть информации;
  • декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
  • перемешивание персональных данных, принадлежащих различным субъектам.

Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.

Позиция регулятора и судов

Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.

Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.

По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.

В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.

Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:

  • если сведения относятся к общедоступным;
  • если они используются в целях статистики.

Это значит, что обработка ФИО должна происходить по тем же правилам и с применением тех же технических и программных средств, что и обработка остального массива конфиденциальной информации, прямо или косвенно относящейся к личным сведениям граждан.

Суды неоднократно обращали внимание операторов на невозможность разглашения любых персональных данных без разделения их на группы по степени идентификации личности.

Безусловно признавая отнесение ФИО к персональным данным, регулятор не готов предоставить операторам более легкие условия по обеспечению их конфиденциальности, чем для других групп сведений, за исключением отдельных категорий данных, относящихся к более высоким уровням защиты, например, биометрическим или медицинским данным. При этом споры о классификации ФИО продолжаются, возможно, законодатель изменит свою позицию в этом вопросе.

Защита персональных данных в Украине
Персональные данные как правовой институт, нуждающийся в защите, появился в украинском законодательстве в 2011 году, со вступлением в силу 1 января 2011 года Закона Украины «О защите персональных данных» (далее – Закон о защите ПД). Для общества и государственных органов это было ошеломляющей новостью и головной болью, страну всколыхнула волна различных семинаров и практикумов по вопросам защиты персональных данных, по ходу действия создавалась специализированная служба, которая сама не совсем понимала, как защищать и оберегать персональные данные, на которые до этого никто не обращал никакого внимания. Вместо этого оказывается, что персональные данные – это такие же неимущественные ценности и блага, как жизнь, достоинство, деловая репутация. Базы персональных данных начали массово регистрировать, что парализовало работу службы по вопросам защиты персональных данных.

До этого персональным данным посвящалась только статья 23 Закона Украины «Об информации», а Конституционный Суд Украины в своем Решении No 5-зп еще в 1997 году обращал внимание на необходимость привести законодательство Украины в соответствие с европейскими стандартами.

В начале 2012 года все тот же Конституционный Суд Украины в своем Решении No 2-рп/2012 детализировал, что информацией о личной и семейной жизни лица (персональными данными), среди прочего, являются: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное состояние, адрес, дата и место рождения, место жительства и нахождения и т. п., данные о личных имущественных и неимущественных отношениях данного лица с другими лицами, в частности членами семьи, а также сведения о событиях и явлениях, которые происходили или происходят в бытовой, интимной, товарищеской, профессиональной, деловой и других сферах жизни лица, за исключением данных о выполнении полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления.

Не успела служба по вопросам защиты персональных данных заработать, как уже с 1 января 2014 года основным органом, ответственным за защиту персональных сведений, стал Уполномоченный Верховной Рады Украины по правам человека (далее – Омбудсмен).

Прошло 7 лет, а юристы продолжают повторять, что существует гражданско-правовая, административная, уголовная ответственность в сфере защиты персональных данных. Однако это всесухая, аморфная теория, а что происходит на практике?

В ходе рассмотрения споров о возмещении морального вреда, в частности по делам о разглашении персональных данных и вмешательстве в личную жизнь, следует исходить из презумпции причинения лицу морального вреда ответчиком и обязанности именно ответчика опровергнуть такую презумпцию, о чем речь идет в постановлении Верховного Суда Украины от 27.09.2017 по делу No 6-1435цс17.

Широкую огласку борьба за защиту персональных данных приобрела в сфере потребительского кредитования и противодействия коллекторским компаниям. Банки довольно часто передавали и передают персональные данные в рамках уступки права требования, факторинговых операций своих клиентов-должников третьим лицам. Вместо этого и согласно положениям ст. 10 Закона о защите ПД финансовые учреждения действуют в рамках предоставленных полномочий с целью защиты своих прав, и в договорах банковские учреждения со своими клиентами дополнительно прописывают процедуру передачи персональных данных (для примера, определение Высшего специализированного суда по рассмотрению гражданских и уголовных дел от 26.10.2016 по делу No 473/2644/15-ц).

Омбудсмен на страже защиты наших персональных данных
Положение ст. 28 Закона о защите ПД об ответственности в сфере защиты персональных данных не содержат никакой конкретики, а носят только общий характер и отсылают к законодательству Украины в целом.

В свою очередь, статьей 188 39 Кодекса Украины об административных правонарушениях (далее – КУоАП) предусмотрена административная ответственность в форме разных штрафов, которые колеблются от 1700 до 17000 грн.

Согласно предписаниям ст. 255 КУоАП Омбудсмен вправе составлять протоколы об административных правонарушениях, после чего материалы административного дела передаются в суд.

Если принять во внимание ежегодные доклады Омбудсмена, то в течение 2016 года он провел 76 проверок владельцев персональных данных, по результатам которых выданы и переданы для обязательного исполнения 33 предписания об устранении нарушения требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки, а также составлено 5 протоколов об административном правонарушении.

В прошлом году количество проверок было значительно меньше – 45. По их результатам было выдано и передано для обязательного исполнения 38 предписаний об устранении нарушения требований законодательства в сфере защиты персональных данных, а также составлено и направлено в суд 34 протокола.

По результатам рассмотрения судами дел об административных правонарушениях по 2 делам лица были признаны виновными и наложено административное взыскание, по 13 делам – лицо признано виновным, однако производство по делу было закрыто в связи с окончанием на момент рассмотрения дела сроков наложения административного взыскания.

Наверное, наиболее резонансным делом в этом году стало привлечение к административной ответственности и наложение штрафа в размере 5100 грн на военного комиссара Львовского областного военкомата за размещение на официальной странице военкомата списков граждан, подлежащих призыву на срочную военную службу и не явившихся в военный комиссариат (постановление Лычаковского районного суда г. Львова от 19.02.2018 по делу No 463/255/18). На данный момент дело слушается в апелляционной инстанции, и скорее всего лицу удастся избежать ответственности. Основной проблемой привлечения к административной ответственности является архаичность и устарелость положений КУоАП, поскольку суд должен принять решение о привлечении к ответственности в пределах 3 месяцев с момента совершения правонарушения, а при длящемся правонарушении – не позднее чем через три месяца со дня его выявления. Выходит, что
лицу довольно часто удается избежать довольно солидных штрафов. К сожалению, об этом в ежегодных докладах Омбудсмена речь не идет.

Преступление есть, а что с ответственностью?
Статьей 182 Уголовного кодекса Украины (далее – УК Украины) предусмотрена уголовная ответственность за сам факт незаконного сбора, хранения, использования, уничтожения, распространения конфиденциальной информации о лице или незаконном изменении такой информации, кроме случаев, предусмотренных другими статьями данного Кодекса, в форме штрафа от пятисот (8500 грн) до одной тысячи (1700 грн) необлагаемых минимумов доходов граждан, или исправительных работ на срок до двух лет, или ареста на срок до шести месяцев, или ограничения свободы на срок до трех лет.

А вот если правонарушение касается именно несоблюдения установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных, то речь идет только об административной ответственности в соответствии с положениями КУоАП.

Принимая во внимание статистику, приведенную на сайте Генеральной прокуратуры Украины, по ст. 182 УК Украины регистрировалось ежемесячно в течение 2017 года приблизительно по 150 преступлений. Но большинство дел были закрыты и только единицы доходили до суда, что в целом свидетельствует о неэффективности работы правоохранительных органов, наличии трудностей в расследовании и привлечении к уголовной ответственности.

Вывод
Следовательно, выходит, что система защиты персональных данных наших граждан остается на уровне десяти лет назад, штрафы и ответственность периодически пересматриваются, однако механизм привлечения к ответственности остается в стадии реформирования и осмысления.

О персональных данных

Вопросы, касающиеся предоставления государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»

1. Вопрос: Каким образом для организации можно получить выписку из реестра операторов, осуществляющих обработку персональных данных? Что для этого требуется?

Ответ: Предоставление выписки из Реестра является одним из результатов предоставления государственной услуги — Ведение реестра операторов, осуществляющих обработку персональных данных, предоставление которой регламентировано Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным приказом Минкомсвязи России от 21.12.2011 № 346 (Зарегистрировано в Минюсте России 29.03.2012 № 23650) (далее – Административный регламент).

В соответствии с п.п. 102-103.2 Административного регламента заявители вправе получить выписку из Реестра на основании письменного заявления в Роскомнадзор (соответствующий территориальный орган Роскомнадзора) или заявления в электронной форме с Единого портала.

Выписка из Реестра предоставляется при наличии в заявлении наименования юридического лица, фамилии, имени, отчества (последнее — при наличии) физического лица, почтового адреса юридического лица, физического лица. Образец заявления на предоставление выписки из Реестра приведен в приложении № 4 к Административному регламенту.

Вопросы, касающиеся использования персональных данных на сайтах в сети «Интернет» без согласия субъекта персональных данных:

1. Вопрос : Что делать, если мои персональные данные размещены на сайтах в сети «Интернет» без моего согласия?
Ответ: В данном случае следует предоставить в адрес Управления Роскомнадзора соответствующее обращение. В целях объективного и полного рассмотрения необходимо указать следующую информацию:

1) перечень персональных данных, неправомерно обрабатываемых на сайтах в сети «Интернет»;

2) сведения о документе, удостоверяющем Вашу личность (копии страниц паспорта), для подтверждения принадлежности персональных данных, неправомерно размещенных на сайтах в сети «Интернет», к Вам, как к субъекту персональных данных;

3) точные и доступные адреса страниц сайтов (указатели страниц сайтов в сети «Интернет» — URL), содержащие незаконно обрабатываемые (размещённые) персональные данные, позволяющие осуществить просмотр данных страниц Управлением, а также снимки экрана с данными страницами, содержащие в себе полный адрес страницы сайта (URL) и даты публикации постов/сообщений, содержащих незаконно обрабатываемые (размещённые) персональные данные на текущий момент времени (дата) и другие сведения, подтверждающие нарушения требований законодательства в области персональных данных (видеозапись экрана с действиями, позволяющими зафиксировать нарушения и т.п.);

4) сведения, уполномочивающие Вас представлять интересы физических лиц (копии доверенностей), персональные данные которых размещены на сайтах (в случае нарушения их прав как субъектов персональных данных).

Дополнительно следует представить (при наличии):

— сведения, подтверждающие факт направления Вами в адрес администрации сайта (далее — оператор) требования об уничтожении Ваших персональных данных с указанием на их незаконное получение (без согласия) оператором или с указанием того, что они не являются необходимыми для заявленной цели обработки (представляется при возможности направления указанного требования);

— ответ оператора на Ваше требование об уничтожении Ваших персональных данных (при наличии).

Обращаем внимание на то, что все имеющиеся сведения должны быть представлены в адрес Управления единовременно.

При размещении персональных данных в публичных сообществах социальных сетей следует разграничить вопросы защиты персональных данных и защиты чести, достоинства и деловой репутации.

Вопросы защиты чести, достоинства и деловой репутации решаются в порядке, установленным гражданским судопроизводством. Для чего гражданину необходимо обратиться в суд за защитой своих прав, свобод и интересов.

Вопросы, касающиеся выявленных фактов мошенничества

1. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о действиях мошенников/аферистов/субъектах, распространяющих поддельные документы, программное обеспечение и т.д.?

Ответ: Рассмотрение дел, содержащих в себе признаки мошенничества (незаконное списание денежных средств и т.п.), в том числе рассмотрение обращений, относительно деятельности мошеннических интернет-ресурсов, а также дел о продаже поддельных документов и программного обеспечения, не входит в полномочия Управления, так как делами такого рода занимаются правоохранительные органы.

При поступлении в Управление обращений, содержащих в себе вышеуказанные вопросы, данные обращения перенаправляются в Министерство Внутренних Дел Российской Федерации для рассмотрения поставленных вопросов в пределах установленной законом компетенции.

О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети «Интернет» Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

2. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о деятельности Интернет-казино?

Ответ: Расследование противоправной деятельности входит в компетенцию Министерства внутренних дел Российской Федерации. О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети Интернет Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

Вопросы, касающиеся использования персональных данных ребенка:

1. Вопрос: Достаточно ли подписи одного родителя в согласии на обработку персональных данных ребенка? Как быть в ситуации, когда родитель категорически отказывается подписывать согласие на обработку персональных данных?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, согласие на обработку персональных данных ребенка требуется только в том случае, если осуществляется обработка персональных данных, не совместимая с образовательными целями, либо не подпадает под действие п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В случае необходимости получения согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей, ввиду того, что в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации, родители имеют равные права и несут равные обязанности в отношении своих детей.

2. Вопрос: Возможно ли размещать на сайте образовательного учреждения персональные данные детей, а также фото с мероприятий?

Ответ: Основополагающим принципом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.

Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.

Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления» персональных данных и их «распространения».

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Для выполнения образовательных целей достаточно предоставления информации.

В связи с вышеизложенным, в целях недопущения нарушения прав несовершеннолетних и их законных представителей, рекомендуется исключить публикацию их персональных данных (в том числе фотографий) на сайтах образовательных учреждений в открытом доступе.

Для обеспечения предоставления персональных данных в соответствии с заявленными целями обработки, рекомендуем использовать такие сервисы, в которых доступ к определенной информации имеют только зарегистрированные пользователи согласно назначенных прав. Данный функционал возможно реализовать, например, в системе «Электронный дневник».

3. Вопрос: Возможна ли публикация персональных данных педагогов на официальных сайтах образовательных учреждений без их согласия?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Статьей 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» предусмотрено, что образовательные организации формируют открытые и общедоступные информационные ресурсы, содержащие информацию об их деятельности, и обеспечивают доступ к таким ресурсам посредством размещения их в информационно-телекоммуникационных сетях, в том числе на официальном сайте образовательной организации в сети «Интернет». Образовательные организации обеспечивают открытость и доступность, в том числе, о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Кроме того, Правилами размещения на официальном сайте образовательной организации в информационно – телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», утвержденными Постановлением Правительства Российской Федерации от 10.07.2013 № 582, конкретизирован характер информации, подлежащей размещению на официальном сайте.

Так, образовательное учреждение вправе без согласия на обработку персональных данных размещать на своем официальном сайте следующее: информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности.

4. Вопрос: Допускается ли размещение на сайте образовательного учреждения размещение благодарностей и поздравлений родителям за активное участие в конкурсах и мероприятиях?

Ответ: Размещение такой информации допускается, на усмотрение родителей, при условии отсутствия в таких благодарностях и поздравлениях персональных данных несовершеннолетних.

Вопросы, касающиеся работы банковких и коллекторских организаций

1. Вопрос: Разъяснения о правомерности телефонных звонков третьим лицам с целью возврата просроченной кредитоской задолженности.

Ответ: В последнее время участились случаи поступления в Роскомнадзор обращений граждан по вопросу осуществления кредиторами (или лицами, действующими по поручению кредитора) телефонных звонков с целью принудить третьи лица выплатить кредиторскую задолженность.

В связи с этим Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных считает необходимым разъяснить следующее.

При осуществлении мер, направленных на взыскание просроченной кредиторской задолженности, кредиторы (а также лица, действующие от их имени)прибегают к различным способам установления информации о должнике, в том числе совершают звонки в адрес третьих лиц. Это могут быть члены семьи должника, родственники, иные проживающие с должником лица, соседи и любые другие физические лица. При этом звонившие не обращают внимание на необходимость одновременного соблюдения условий, которые позволяют считать такие звонки законными. Взаимодействие кредиторов с любыми третьими лицами возможно только в случае:

1. наличия согласия должника на осуществление взаимодействия с третьим лицом, направленного на возврат просроченной задолженности;

2. третьим лицом не выражено несогласие на осуществление с ним взаимодействия.

Таким образом, все действия кредиторов (или лиц, действующих по поручению кредитора) в отношении третьих лиц, предпринимаемые в отсутствии их волеизъявления, являются незаконными.

В случае выявления подобных фактов граждане вправе обратиться в Роскомнадзор, приложив соответствующие материалы, для принятия, при наличии оснований, мер реагирования.

Время публикации: 08.07.2013 13:20
Последнее изменение: 12.08.2020 14:53

Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А. Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста) // Закон.ру. 2019. 18 марта. URL: https://zakon.ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person

Достаточно часто в отечественных публикациях и выступлениях звучат утверждения, что персональные данные являются конфиденциальными и вследствие этого охватываются понятием «тайна». Некоторых это приводит к выводу о целесообразности объединения в одном законе норм, регулирующих как тайны, так и персональные данные.

Попробуем разобраться, насколько верна такая позиция.

Понятие конфиденциальности

В русском языке синонимами слова «конфиденциальный» традиционно являются «секретный», «тайный», «доверительный», «не подлежащий огласке». Поэтому понятия «тайна», «секрет», «конфиденциальность» всегда признавались равнозначными и использовались для обозначения того, что неизвестно другим и не должно быть раскрыто под угрозой применения мер ответственности.

В отечественном законодательстве нашел закрепление подход, согласно которому под тайной понимаются сведения, которые не известны третьим лицам и не могут быть ими свободно получены, обладают определенной ценностью, защищаются от несанкционированного доступа к ним. В частности, выделяются государственная (в том числе военная), профессиональная, служебная, коммерческая тайна, секрет производства – для них установлены соответствующие правовые режимы.

Изучение зарубежного опыта позволяет сделать вывод о том, что за понятием «конфиденциальность» сегодня признается более широкое значение – им охватываются как собственно тайны (секреты), так и иные формы ограничения применительно к конкретным типам информации. Выделяют две основные разновидности конфиденциальности:

– секретность (secrecy), которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение. Именно под режим secrecy подпадают упомянутые выше государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.

– приватность (privacy), представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений. Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил. Под режим privacy подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.

Надо признать, что обозначенное разграничение проникло и в отечественное право. Именно о privacy (как разновидности конфиденциальности) идет речь в ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в которой под конфиденциальностью информации предлагается понимать «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

Эта новация стала результатом начала ратификационного процесса подготовки России к участию в Конвенции 108, о которой речь пойдет далее.

Конвенция 108

Эту часть статьи хотелось бы предварить замечанием, уже звучавшим в моей предыдущей работе: общеизвестный термин «personal data» было бы вернее перевести на русский язык не как «персональные данные», а как «личные данные», «личные сведения» или «личная информация» (далее эти выражения будут использоваться как синонимы). На мой взгляд, это значительно облегчило понимание целей и сущности отечественного законодательства о персональных данных.

Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No. 108 (Strasbourg, 28.I.1981), название которой можно перевести как Конвенция о защите частных лиц применительно к автоматизированной обработке личных сведений (далее – Конвенция 108), представляет собой международный договор, нацеленный на решение проблем, порождаемых использованием новых технологий.

В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.

С учетом этого цель Конвенции 108 состоит в обеспечении для каждого частного лица уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в том что касается автоматизированной обработки его личной информации (ст. 1). Для краткости эта цель обозначена как «защита данных». Иными словами, использованное в Конвенции 108 выражение «защита данных» должно пониматься в контексте защиты не самих по себе личных данных, а прав и основных свобод частных лиц, которые могут быть нарушены при автоматизированной обработке (использовании) этой информации.

В ст. 7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение (1) случайного или несанкционированного уничтожения / (2) случайной потери сведений / (3) несанкционированного доступа, изменения или распространения таких сведений.

Помимо упомянутых мер безопасности Конвенция 108 в ст. 8 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: (1) знать об автоматизированных базах личных данных и их целях; (2) получать подтверждение того, что их личная информация хранится в такой базе; (3) добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; (4) при невыполнении указанных просьб использовать соответствующие средства правовой защиты.

В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.

Отечественное законодательство о персональных данных

В 2006 году в рамках упомянутого ратификационного процесса был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который, как следует из его ст. 1, призван урегулировать отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без таковых в установленных законом случаях. В качестве цели Закона о персональных данных (подобно Конвенции 108) указывается на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

В п. 1 ст. 19 Закона о персональных данных предусмотрена обязанность оператора при обработке данных принимать меры по обеспечению их безопасности – необходимые правовые, организационные и технические меры, направленные на предотвращение: (1) неправомерного или случайного доступа к ним; (2) уничтожения данных; (3) их изменения; (4) блокирования; (5) копирования данных; (6) предоставления; (7) распространения персональных данных, а также от иных неправомерных действий.

Помимо этого в Законе о персональных данных содержится ст. 7, носящая наименование «Конфиденциальность персональных данных», которая закрепляет следующее положение: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». По всей видимости, именно ст. 7 и подводит многих юристов к мысли о том, что персональные данные – это сведения, которые следует рассматривать как разновидность тайны.

Однако подобные выводы неверны.

Во-первых, под категорию «персональные данные» на сегодняшний подпадают разные по своей природе разновидности личной информации, в том числе сведения, однозначно не являющиеся секретными и ни в коей мере не относящиеся к тайне (на это указывалось в моей предыдущей статье о персональных данных).

Во-вторых, ст. 7 Закона о персональных данных, по сути, лишь устанавливает общий запрет на использование личных сведений граждан без их согласия операторами и другими лицами, получившими доступ к этим сведениями. Иными словами, в данной статье Закона о персональных данных, как и ст. 2 Закона об информации, под конфиденциальностью понимается privacy.

Исходя из вышеизложенного, можно заключить, что понятие «персональные данные» отнюдь не тождественно понятию «тайна». Это заключение основано в том числе и на том, что конфиденциальность персональных данных предполагает иную форму ограничения (privacy), отличающуюся от режима секретности (secrecy).

Другие работы автора в открытом доступе – http://rozhkova.com/all.html

P.S. лента новостей IP CLUB в сфере права интеллектуальной собственности и цифрового права (IP & Digital Law) в:

facebook – https://www.facebook.com/ipclubin

Вконтакте – https://vk.com/ipclubin

telegram – https://t.me/ipclubin

См., например: Ожегов С.И. Словарь русского языка: 70000 слов / Под ред. Н.Ю. Шведовой. М.: Рус.яз., 1991. С. 293; Словарь иностранных слов. М.:

Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

«…без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».

Добавить комментарий