сотовый телефон является персональными данными
Является ли номер телефона персональными данными
В данной статье рассмотрим, является ли номер телефона персональными данными и можно ли передавать номера телефонов абонентов третьим лицам (например, при осуществлении СМС рассылок).
В соответствии со статьей 7 Федерального закона « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица (далее-Закон), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В настоящее время все чаще номера телефонов передаются без согласия абонента, так как в законодательстве четко не указано, что они являются персональными данными.
Казалось бы, набор цифр номера телефона никак не может персонифицировать субъекта персональных данных, он полностью обезличен. Но добавьте к этим цифрам ФИО и ситуация в корне изменится. Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится.
Кроме того, ст. 3 Закона вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Данная же статья закрепляет, что обезличивание персональных данных входит в процесс обработки персональных данных, и значит, в соответствии со статьей 9 Закона перед обезличиванием субъект персональных данных доложен дать согласие на их обработку. То есть сам по себе номер телефона без указания сведений о его владельце, также является конфиденциальной персональной информацией.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например, на рассылку рекламной информации.
Выводы:
Является ли номер телефона персональными данными
В соответствии со статьей 7 Федерального закона « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица (далее-Закон), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В настоящее время все чаще номера телефонов передаются и используются без согласия абонента, так как в законодательстве четко не указано, что они являются персональными данными.
Казалось бы, набор цифр номера телефона никак не может персонифицировать субъекта персональных данных, он полностью обезличен. Но добавьте к этим цифрам ФИО и ситуация в корне изменится. Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится.
Но ст. 3 Закона также вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Сам по себе номер телефона без указания сведений о его владельце, является информацией обезличенной, то есть набор цифр нельзя признать персональной информацией.
А вот если номер телефона использован с указанием на ФИО его владельца, то такая информация уже носит характер конфиденциальной, и может быть использована только с согласия субъекта персональных данных на обработку его персональных данных.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например на рассылку рекламной информации.
Выводы:
1. Номер телефона является персональными данными;
2. Передача персональных данных третьим лицам без согласия субъекта персональных данных незаконна;
3. Использование номеров телефонов в случае отсутствия дополнительных сведений об их владельцах также требует согласия.
Персональные данные шире, чем вы думали: номер телефона и email
Правительство отнесло e-mail и номер телефона к персональным данным.
Время прочтения: 1,5 мин.
13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:
Что является персональными данными?
Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.
Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу. Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации). Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.
Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.
Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).
Система идентификации граждан и «скоринг»
К примеру, Ростелеком разрабатывает Единую биометрическую систему для идентификации граждан и получения ими финансовых услуг:
«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»
Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).
За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.
Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.
Придётся всё-таки хостинг маркетплейса переводить в Россию, а то, думаю, проблем будет немеряно.
А в закон разве требует хранить данные только на территории РФ?
Вроде там просто требование о хранении на территории РФ, то есть репликации БД должно хватить.
Верно. Если данные россиян, то серверы должны находится на территории РФ.
необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).
Вот это обязательные шаги для интернет магазинов?
Артур, всё зависит от того, какие данные вы собираете / обрабатываете и для какой цели (доставка и оформление заказа или что-то большее). Если вы признаетесь оператором, то лучше подать уведомление в Роскомнадзор, во избежание проверок и выставления штрафов. Политика конфиденциальности — политика по обработке перс.данных должна быть в обязательном порядке, с согласием и т.д. Иногда галочки «согласен» не достаточно — нужно смотреть текст документа.
Спасибо, Рустам! Да, только для оформления и доставки. Рассылки не делаем, не звоним, ничего не навязываем. Храним только для постпродажного обслуживания, замена, гарантия, возврат.
Я немного про другое, закон про ПД не запрещает передачу ПД за границу, вот например минсвязь пишет в пояснении
Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.
Следовательно почему не сделать такой сетап – основные серверы и БД все так же за границей, а на территории РФ просто копия основной БД с персональными данными.
1. Закон не запрещает трансграничную передачу данных, если, помимо прочего, есть согласие гражданина, а также государство в которое передаются данные, обеспечивает адекватную защиту персональных данных физических лиц (перечень государств не обеспечивающих адекватную защиту=не подписавших конвенцию Совета Европы утвержден отдельно).
2. Если вы обрабатываете данные, то вы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ — т.е. на серверах в РФ.
3. Но есть и другой режим, если вы признаетесь организатором распространения информации (ОРИ). Проще говоря, если на вашем сайте можно общаться пользователям, то вы должны также обеспечить хранение (а) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; (б) текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Не говоря уже о прочих обязанностях постановки в реестр посредством уведомления госоргана. По факту нарушения именно этого положения закона, заблокирован Линкедин и сейчас идет разбирательство в отношении Твиттер Инк.
Номер мобильного телефона и e-mail официально отнесены к персональным данным
На портале официальной информации размещено в понедельник постановление правительства Российской Федерации от 13.09.2019 №1197, определяющее, что номер телефона и адрес электронной почты относятся к персональным данным.
Правительство Российской Федерации постановило «дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением правительства Российской Федерации от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» пунктом «д» следующего содержания:
д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)».
Мэрия отказалась считать персональными данными номера телефонов москвичей
Информация, которую работающие в Москве компании в соответствии с указом Сергея Собянина должны передавать властям столицы, не относится к персональным данным сотрудников. Об этом заявили в пресс-службе департамента информационных технологий Москвы (ДИТ), отвечая на запрос «Интерфакса».
«Обращаем внимание на то, что номера телефонов, транспортных карт и государственных регистрационных знаков автомобилей без указания Ф. И. О. или иных сведений, позволяющих установить личность конкретного гражданина, не являются персональными данными», — заявили в пресс-службе ДИТ.
При этом в ведомстве заверили, что власти столицы не собираются контролировать перемещения лиц, чьи данные будут им переданы.
«Перед органами власти города Москвы не стоит задача определения места нахождения отдельного человека или маршрута его передвижения. Обезличенные данные позволят производить оперативную оценку эффективности реализации введенных ограничений», — пояснили в ДИТ.
Опрошенные РБК юристы не согласились с позицией ДИТ. Председатель коллегии адвокатов «Старинский и партнеры» Владимир Старинский обратил внимание на п. 3 ст. 1 закона «О персональных данных», где говорится, что персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. «То есть это не только фамилия, имя, отчество, но и другая информация, позволяющая косвенно установить по ней физическое лицо», — заявил он.
Старинский отметил, что, согласно указу мэра, работодатели обязаны предоставлять номера мобильного телефона, транспортного средства, а также карт «Стрелка» или «Тройка». «Имея номер транспортного средства или социальной карты, город может обратиться к базам данных и легко выяснить недостающую часть персональных данных. Кроме того, в последнее время люди активно стали использовать GetContact и другие программы, с помощью которых по номеру телефона можно выяснить, как человек записан у других людей», — отметил он. По словам юриста, власти Москвы могут признать, что здоровье и благополучие людей важнее, чем законодательство о персональных данных, «иначе получается, что мэрия вводит работодателей в заблуждение».
Как заявил управляющий партнер юридической фирмы «Надмитов, Иванов и партнеры» Александр Надмитов, ссылаясь на письмо Роскомнадзора, «принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным». «То есть главным основанием для признания сведений персональными данными является возможность идентифицировать по ним определенное физическое лицо», — заявил он. Надмитов отметил, что номер телефона был отнесен к персональным данным постановлением правительства от 13 сентября 2019 года.
6 октября Собянин обязал работодателей столицы регулярно предоставлять властям города следующие данные о переведенных в связи с распространением COVID-19 на удаленный режим работы сотрудниках:
8 октября власти Москвы заявили, что работники не имеют права отказаться предоставлять данные сведения, так как «обязаны соблюдать дисциплину труда, в том числе правила поведения, определенные федеральными законами».
Опрошенные РБК юристы не пришли к единому мнению о законности требований властей Москвы. Советник юридической фирмы «Томашевская и партнеры» Роман Янковский сообщал РБК, что власти столицы не обладают полномочиями для того, чтобы запрашивать личные данные сотрудников. По словам Янковского, такая обязанность должна быть установлена законом.
Однако в коллегии адвокатов Pen & Paper сообщили, что мэр действовал в рамках законодательства. Партнер компании Екатерина Тягай отметила, что в некоторых случаях согласие человека на обработку его персональных данных не требуется, например, когда оператор должен выполнить функции, возложенные законодательством.
За последние сутки в Москве выявлен 3701 случай заражения коронавирусной инфекцией COVID-19, из которых 1001 человек госпитализирован.