Консультация эксперта
Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.
***
Определение персональных данных
Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
В редакции 2011 года закон содержал перечень:
- Фамилия, имя, отчество
- Дата и место рождения
- Адрес
- Семейное положение
- Социальное положение
- Имущественное положение
- Образование
- Профессия
- Доходы
- Другая информация о гражданине
В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.
Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.
Категории персональных данных
Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.
Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.
Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.
Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.
Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.
В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.
Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.
Паспортные данные
Информацию в паспорте можно поделить на две категории.
Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.
Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
- Серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017.
Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017. - Серия и номер паспорта – неотъемлемые реквизиты документа и делают его уникальным.
Определение Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019.
Апелляционное определение Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018.
Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.
ИНН
На вопрос, является ли ИНН персональными данными, нет однозначного ответа.
С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.
По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347.
Одновременно с разъяснениями ведомства в судебной практике существует противоположная позиция, согласно которой ИНН относят к такой категории. Постановление Арбитражного суда Московского округа от 26.07.2021 № Ф05-14419/2021 по делу № А40-183316/2020.
Апелляционное определение Четвёртого апелляционного суда общей юрисдикции от 02.02.2021 по делу № 66-313/2021.
Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.
Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.
Номер телефона
При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.
Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).
Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.
Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.
Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.
Электронная почта
В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.
В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016.
Сетевые идентификаторы (IP-адрес, файлы cookie и др.)
В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.
Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.
Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный. С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019. Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.
Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.
Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.
Номер автомобиля
Государственный регистрационный номер присваивается автомобилю, а не собственнику.
П. 37 Правил государственной регистрации транспортных средств в регистрационных подразделениях Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации, утверждённых Постановлением Правительства РФ от 21.12.2019 № 1764, п. 105 Административного регламента Министерства внутренних дел Российской Федерации предоставления государственной услуги по регистрации транспортных средств, утверждённого Приказом МВД России от 21.12.2019 № 950.
Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.
Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.
Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.
Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.
Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.
Фотография
С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.
Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.
и подтверждена в судебной практике, например Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017
Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется. Если фотография используется для определения личности субъекта, то это биометрические персональные данные.
Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил: если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.
Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.
Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.
Состояние здоровья
Состояние здоровья – это специальная категория персональных данных.
Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.
Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.
Информацию о том, что относится к персональным данным, а также пошаговый алгоритм по работе с ними вы можете найти в справочно-правовой системе КонсультантПлюс
Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»