- Общий взгляд на проблему
- Всегда ли фамилия, имя, отчество являются персональными данными?
- Почему возникает вопрос, являются ли ФИО персональными данными гражданина
- Сбор персональных данных – теперь это мрак. Коснется всех!
- 1. ФИО и номер телефона – это персональные данные?
- 2. Какие еще исключения будут убраны?
- 3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?
- 4. Какой еще штраф? Сколько?
- 5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?
- 6. Как составить уведомление?
- 7. Для чего Роскомнадзору нужны наши уведомления?
- Подробное разъяснение, является ли ФИО персональными данными
- Законодательные основы
- Фамилия
- Отчество
- ФИО вместе
- Когда эта информация не может относиться к ПД?
- А это точно персональные данные?
- Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.
- Фамилия, имя и отчество (полное имя) – это персональные данные?
- Это универсальный подход?
- Понятие персональных данных
- Исключения из общего правила
С того момента, как государство стало активно контролировать все операции, которые осуществляются с ПДн граждан, у компаний и предпринимателей появилось множество обязанностей по обеспечению информационной защиты. К сожалению, не всегда законодательная база оказывается достаточно конкретной, чтобы определиться, под какую категорию подпадают те или иные виды сведений. Однако без четкого понимания, как идентифицировать данные, оператор не может грамотно выстроить систему безопасности ИСПДн, что, в свою очередь, приводит к возникновению конфликтов с контролирующими структурами, сотрудниками, клиентами и партнерами.
Среди распространенных вопросов — относится ли ФИО к персональным данным. На первый взгляд, все очевидно, ведь имя и фамилия указаны в перечне, представленном в ФЗ-152, но там же есть упоминание о том, что к ПДн относится только та информация, которая дает возможность установить личность субъекта. Но как быть, если по ним нельзя осуществить идентификацию? Ответ неоднозначный и зависит от того, с какой точки зрения рассматривать ситуацию: с фактической (как есть на самом деле) или с юридической (как определено в действующей нормативно-правовой базе).
Одно можно сказать точно — выяснить детали регулирования этого вопроса нужно обязательно, чтобы:
- с учетом того, являются ли имя и фамилия персональными данными, разрабатывать локальную документацию в отношении работы с личной информацией граждан;
- правильно выстроить механизм взаимодействия с разными субъектами ПДн в рамках одной или нескольких информационных систем;
- обезопасить конфиденциальные данные от неправомерных действий со стороны сотрудников предприятия или третьих лиц;
- подготовить текст соглашения на обработку таким образом, чтобы в будущем не пришлось отстаивать свою позицию в суде или выплачивать серьезные штрафы;
- не оказаться в центре скандала как недобропорядочный оператор и не потерять клиентуру вместе с потенциальной прибылью;
- оптимизировать работу кадрового отдела, бухгалтерии и других служб, которые задействованы на разных этапах работы с ПДн.
Принимая во внимание тот факт, что санкции за незаконную, чрезмерную обработку ПДн и другие нарушения в отношении личных сведений постоянно ужесточаются, имеет смысл урегулировать проблему на начальном этапе деятельности, а еще лучше — поручить это профессионалам. Специалисты быстро и тщательно проанализируют ситуацию, дадут рекомендации и проконтролируют приведение вашего бизнеса в соответствие с действующими требованиями ФЗ-152, постановлениями Правительства РФ и положениями подзаконных актов.
Общий взгляд на проблему
Если определять, являются ли фамилия и инициалы персональными данными, исключительно по тому, как расшифровывается термин ПДн в ФЗ-152, то ответ будет однозначно положительным. Аналогичная ситуация, если ориентироваться на:
- закон «О связи», где к сведениям об абонентах также относят домашний адрес, псевдоним, логин с паролем и прочую информацию, на основе которой можно понять, о каком гражданине идет речь;
- разъяснения Центробанка России;
- постановления ФСТЭК и Роскомнадзора.
В некоторых нормативно-правовых актах указано о недопустимости разглашения места регистрации или фактического проживания. Так что на вопрос, является ли адрес персональными данными без ФИО, ответ тоже «да».
Согласно последним разъяснениям регулятора, банковские структуры и микрофинансовые организации не имеют права оставлять в почтовых ящиках квитанции в таком виде, который бы позволял идентифицировать гражданина. Те же правила действуют в отношении корреспонденции от коммунальных служб.
Всегда ли фамилия, имя, отчество являются персональными данными?
Необходимость обеспечить безопасность полученных офлайн или онлайн личных сведений заставляет многих операторов придумывать способы обойти законодательные требования. Один из вариантов — создать ситуацию, когда одни положения ФЗ будут вступать в противоречие с другими, например, использовать только часть полученной информации. Но имя — это персональные данные даже без фамилии, то же самое касается фамилии без имени.
Регулирующие органы четко определяют, что все сведения, поступающие на обработку от субъекта после подписания им согласия, являются ПДн. Соответственно, их нужно обезопасить от несанкционированного распространения, копирования, изменения, блокировки, уничтожения и использования. Ответственность за несоблюдение требований ФЗ-152 несут как юридические, так и индивидуальные предприниматели.
А вот в разъяснении ЦБ России есть пометка, что имя без фамилии (или наоборот) может считаться личностным идентификатором, только при наличии привязанных к нему реквизитов паспорта, водительских прав и прочих документов.
Почему возникает вопрос, являются ли ФИО персональными данными гражданина
Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.
Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.
Сбор персональных данных – теперь это мрак. Коснется всех!
Отчеты нужно будет предоставлять в Роскомнадзор вовремя, иначе накажут.
Начиная с 1 сентября 2022 года о сборе персональных данных нужно будет сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Не касалось, а теперь – еще как!
Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефонэлектронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…
Теперь обо всем этом вы будете отчитываться. Причем до мероприятия!
И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны будут все, кто намерен собирать и обрабатывать персональные данные.
Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.
Спойлер: все не так страшно, и TexTerra нашла законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.
1. ФИО и номер телефона – это персональные данные?
ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.
Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).
В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров
2. Какие еще исключения будут убраны?
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.
3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?
Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.
Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.
4. Какой еще штраф? Сколько?
Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.
Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.
5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?
Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес [email protected], через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.
Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.
Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.
6. Как составить уведомление?
Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
В уведомлениях нужно указывать:
- название компании или ФИО лица, собирающего данные,
- правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
- цель обработки персональных данных,
- категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
- категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
- перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
- описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
- дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
- сроки и/или условия прекращения обработки данных,
- планируется или нет передача персональных данных за рубеж,
- местонахождение базы данных,
- сведения об обеспечении безопасности персональных данных.
7. Для чего Роскомнадзору нужны наши уведомления?
Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.
Подробное разъяснение, является ли ФИО персональными данными
Как часто в повседневной жизни мы называем незнакомцам свои имя, фамилию или отчество. Тем самым давая им право на обработку.
В материале мы рассмотрим, ФИО – это персональные данные или нет, а также расскажем, какие законодательство налагает обязательства на обработку такой информации и в каких случаях владельца может защитить закон Российской Федерации.
Законодательные основы
Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте тут, а в этой статье вы найдете примеры персональных данных).
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.
Фамилия
Роскомнадзор разъясняет, что фамилия физического лица считается его персональными сведениями. Однако не позволяет однозначно назвать субъекта. Есть более и менее распространенные фамилии, так что публикация фамилии гражданина Российской Федерации может в разной степени сократить выборку тех, кому оно гипотетически принадлежит.
Персональные данные в РФ неоднородны, они делятся на четыре категории, и для каждой характерны свои особенности. Если по персональной информации невозможно определить гражданина, которому они принадлежат, ведомости считаются обезличенными. Сведения такого рода хранятся по всем правилам, на бумажных или электронных носителях.
Однако субъект персональных сведений не сможет доказать, что распространением ему был нанесен ущерб.
Имя принадлежит человеку, считается его личной информацией, ПД, однако максимально обезличенными. Без уточняющих данных выяснить, кому принадлежит имя, невозможно. Более того, зная имя человека, третье лицо не будет иметь возможность установить дополнительные ведомости.
Отчество
Отчество человека принадлежит физическому лицу, является его персональными сведениями. Входит в категорию обезличенных ведомостей. Под ними понимаются данные, не дающие возможность установить к какому человеку они относятся или что-то еще о нем.
Обезличенные сведения также хранятся в недоступных для третьих лиц местах.
ФИО вместе
Является ли ФИО в целом персональными данными, согласно разъяснениям Роскомнадзора? Да. В Федеральном законе России «О Персональных данных» говорится, что под вышеназванную категорию ведомостей попадает любая информация, принадлежащая физическому лицу. Все ФИО вместе является персональными ведомостями более высокого приоритета, чем указанное отдельно имя или отчество.
В зависимости от конкретных обстоятельств сведения могут иметь более высокий или низкий приоритет. Например, на отдельно взятом предприятии распространение ФИО даст возможность идентифицировать человека, в пределах большого населенного пункта – информация лишь сократит выборку, а если ФИО опубликовано без всякой дополнительной информации, то такие данные станут обезличенными, ведь идентификация не состоится.
Когда эта информация не может относиться к ПД?
Наименее приоритетной, считаются сведения, которые не подлежат сокрытию или не дают возможности идентифицировать человека. ФИО относятся к ПД обезличенного характера, но при этом не перестают быть личными сведениями человека.
В юридической практике это означает следующее – физическое лицо не может обратиться к оператору персональных данных с претензией по распространению таких сведений. Закон не защищает права субъекта, если речь не идет о конфиденциальности.
Какая еще информация относится к персональным данным, в частности, можно ли считать ПД номер телефона, читайте на нашем сайте.
ФИО гражданина относятся к персональным сведениям, однако в зависимости от ситуации, информация может стать как полностью обезличенной, так и более приоритетной по возможным последствиям для ее владельца.
А это точно персональные данные?
Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения!
Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.
Фамилия, имя и отчество (полное имя) – это персональные данные?
Да, полное имя относится к персональным данным. Оно используется для идентификации одного человека среди других. Это комплексный идентификатор, основанный на комбинации трех составляющих.
Однако имя и отчество без дополнительной информации обычно не позволяют идентифицировать личность. Кроме того, в некоторых случаях полное имя (например, в форме фамилии и инициалов) не идентифицирует личность однозначно, а лишь сокращает выборку. Мы даже не можем сказать наверняка, женщина ли Андрейченко А.И.
или мужчина! Однако GDPR в ст. 4 называет имя (name) в качестве идентификатора. Надзорный орган (увы!) не дает разъяснений относительно того, что понимается под термином «имя», однако стремление создателей Регламента защитить информацию о человеке объяснимо.
Чтобы определить, относится ли имя к персональным данным, мы можем его рассмотреть, как и любую другую информацию, в качестве полного или частичного идентификатора, а также в качестве сведений, дополняющих идентификатор. Во всех этих случаях информация относится к персональным данным и защищается одинаково.
Например, даже если фамилия и инициалы сами по себе не являются прямым идентификатором, при наличии дополнительной информации (фотографии или адреса) установление личности человека станет возможным. Похожая ситуация складывается с распространенными именами (например, Иванов Иван Петрович), когда одного лишь имени может быть недостаточно для идентификации лица. Однако если имя будет объединено с другой информацией (с номером телефона, адресом и т.д.), этого будет достаточно, чтобы установить личность.
По общему правилу для того, чтобы отнести информацию к категории персональных данных, необходимо учитывать соразмерность выгоды, получаемой от идентификации, и произведенных затрат. То есть, если затраты на установление личности Иванова Ивана Петровича превышают выгоду от его идентификации, то ФИО не стоит относить к персональным данным. Однако GDPR называет имя в качестве прямых идентификаторов лица.
Соответственно, устанавливать баланс между выгодой и затратами не требуется: по смыслу GDPR имя человека является персональными данными в любом случае.
Это универсальный подход?
Иного подхода придерживается российский законодатель. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ нет примеров идентификаторов. Соответственно, в каждом случае нужно устанавливать соразмерность выгоды и затрат.
Например, однофамильцы не будут считаться идентифицируемыми, если они участвуют в конференции и их ФИО включены в списки спикеров. И наоборот, в малых группах и организациях такие комбинации, как имя и отчество человека, фамилия и инициалы будут являться идентификаторами. В то же время, эта же информация ничего не даст о человеке в крупной компании.
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные.
Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
- сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
- в одной организации могут работать несколько сотрудников с одинаковыми именами;
- ФИО общедоступны, в отличие от других сведений о гражданах.
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно.
Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
- обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
- вариативность, или возможность изменить метод обезличивания в процессе обработки;
- стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
- возможность косвенного деобезличивания в едином массиве с данными других операторов;
- совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
- небольшой параметрический объем;
- возможность контроля качества данных.
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
- метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
- изменение семантики, при котором удаляется или заменяется часть информации;
- декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
- перемешивание персональных данных, принадлежащих различным субъектам.
Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.