Главное за неделю в рассылке
«Что делать Юристу»
Новости профессионального комьюнити и лучшие материалы
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности
Что такое персональные данные по закону
Строгого перечня персональных данных в законе нет. Это абсолютно любые сведения, по которым можно определить человека прямо или даже косвенно (ст. 3 Закона №152-ФЗ).
Деталей закон не дает, всё зависит от ситуации. Вы должны понимать, можно ли определить конкретного человека по тем данным, которые у вас есть, то есть без дополнительной информации.
Например, у вас есть Ф. И. О. и адрес. В совокупности эти данные всегда персональные, а по отдельности нет. Если есть только адрес, то такая информация может относиться как к собственнику недвижимости, так и другим лицам. Например, к арендатору. Конкретики нет, значит, это не персональные данные.
Пример из судебной практики
Гражданин опубликовал объявление о продаже квартиры. После этого он увидел дубликат своего объявления на сайте, где он объявление не размещал. При этом его контактов в объявлении не было, только информация о самой квартире. В контактах были данные организации. Гражданин пожаловался в Роскомнадзор. Он заявил, что были разглашены его персональные данные.
Роскомнадзор нарушения не увидел. Никаких персональных данных в объявлении нет, а фото и описание квартиры персональными данными не являются, ведь по ним конкретное лицо определить нельзя (Постановление АС Западно-Сибирского округа № Ф04-1436/2023 по делу № А27-13261/2022 от 10.05.2023).
Является ли фотография персональными данными
Сложно однозначно ответить на вопрос, будет фотография персональными данными или нет. Нужно понимать, можно ли по ней идентифицировать гражданина. Покажу самые частые виды фотографий, по которым возникают вопросы.
Фото на пропуск
Фото на пропуске нужно, чтобы охрана удостоверилась: пропуск предъявляет его владелец. Конкретика есть, это персональные данные (письмо Минцифры № ОП-П24-070-19433 от 17.07.2020).
Фото на сайте
Всё зависит от ситуации. Нужно понимать, можно ли по этой фотографии определить конкретного гражданина или нет. Например, производственная компания запустила новое оборудование и разместила на своем сайте соответствующую новость и фотографию, где на оборудовании работает инженер. Если подписи, кто именно работает на этом оборудовании нет, а только фото, то по такой фотографии конкретного гражданина определить нельзя. Значит, эти данные не персональные.
Другое дело, если под фотографией есть подпись. Например, «Наш ведущий инженер Иванов П. С. тестирует новый хроматограф». Это уже персональные данные. Соответственно, нужно выполнить все требования закона № 152-ФЗ, в том числе получить согласие этого инженера на их распространение.
Фото с мероприятия
Тут также нужно отталкиваться от ситуации. Если нет подписи, кто есть на этом фото, а изображение просто передает атмосферу мероприятия, то это не персональная информация. Если есть конкретика, кто именно изображен на снимках, то эти сведения становятся персональными.
Вывод прост и логичен. Когда фото служит для идентификации субъекта ― это биометрические персональные данные. Если же фото ― это просто изображение без конкретики, то оно таковыми не является.
Что такое биометрические персональные данные
Такие данные показывают, какие у человека есть физиологические и биологические особенности. С их помощью можно установить конкретную личность (ст. 11 Закона № 152-ФЗ).
Приведу примеры:
- фото и видео;
- анализ ДНК;
- рост и вес;
- голос;
- отпечатки пальцев;
- радужная оболочка глаза;
- медицинские анализы и исследования.
Такая информация становится биометрическими персональными данными, только если по ней можно установить личность гражданина, и она для этого используется.
Например, у вас есть Ф. И. О., рост и вес. Рост и вес будут биометрическими персональными данными. Другой пример: набор сведений ограничивается только ростом, весом и полом гражданина. Мужчина, рост 1 метр 80 сантиметров, вес 90 килограммов. К персональным данным это не относится. Конкретики нет, под эту характеристику можно подобрать много человек.
Важно
Требования к работе с биометрией более жесткие по сравнению с другими персональными данными. Например, согласие на обработку нужно взять письменное с живой подписью. Галочки на сайте недостаточно (ч. 11 ст. 11 Закона № 152-ФЗ).
Является ли номер телефона персональными данными
Номер телефона — это персональные данные, но при одном условии: эта информация относится к гражданину прямо или косвенно. Номер, принадлежащий организации, персональными данными не будет (письмо Минкомсвязи № П11-15054-ОГ от 07.07.2017).
Кроме того, даже если номер зарегистрирован на гражданина, есть нюансы. Практика неоднозначна. Если речь идет просто о телефонном номере и привязки к абоненту нет, то эту информацию могут посчитать просто набором цифр. Если же, помимо номера телефона, в обработке есть и другая идентифицирующая информация, например имя, то это персональные данные.
Пример из судебной практики
Гражданин пожаловался на звонок от компании, которая предлагала услуги связи. Продавец пояснил, что звонил ему не как частному лицу, а как руководителю ООО. Продавец открыл сервис по проверке контрагентов и увидел, что у конкретной компании есть контактный номер, на него и позвонил. Более того, в самом разговоре гражданин подтвердил, что принял входящий звонок как представитель ООО. В процессе диалога к нему по имени-отчеству не обращались, наоборот, он сам подтвердил, что телефонный звонок осуществляется по месту нахождения юридического лица.
Роскомнадзор нарушения не увидел. Цель звонка: – опрос, чтобы определить, нужны ли ООО услуги связи (Постановление 20-го ААС от 03.07.2024 № 20АП-2463/2024).
Паспорт, ИНН, СНИЛС и другие идентификаторы как персональные данные
Номера документов гражданина (паспорт, СНИЛС, ИНН и др.) будут персональными данными, если по ним можно установить личность гражданина. Еще одно условие: они нужны для его идентификации.
Для некоторых идентификаторов есть нюансы, начну с паспортных данных. Здесь можно выделить две категории информации.
Сведения о владельце паспорта. Ф. И. О., дата и место рождения, прописка и др. Позиция тут однозначна: это персональные данные. Гражданина по ним идентифицировать можно.
Данные паспорта как бланка. Серия, номер, дата выдачи и др. Тут две позиции.
1. Это характеристики бланка, на котором изготовлен документ, то есть неперсональные данные:
2. Это персональные данные, совместно с другими паспортными данными.
При этом на практике редко встречаются ситуации, когда серия и номер паспорта идут отдельно от иных реквизитов этого документа.
Делаем вывод: серию и номер паспорта отдельно суды не всегда признают персональными данными. Но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
Если же речь идет о другой информации в паспорте, где нет конкретики, то это не персональные данные. Например, кем он выдан, код подразделения и дата выдачи. Определить тут кого-то конкретного невозможно без дополнительной информации.
ИНН
По такому идентификатору позиция неоднозначна. Минфин и ФНС неоднократно разъясняли, что ИНН — это не персональные данные. Он нужен самим налоговикам, чтобы упорядочить учет налогоплательщиков (письмо Минфина от 29.12.2022 № 03-01-11/129299, письмо ФНС от 05.05.2023 № КВ-3-14/6303@).
С другой стороны, эта цель актуальна только для налоговых органов. Все остальные операторы обрабатывают ИНН в других целях, например включают этот идентификатор в договор. Кроме того, суды ИНН к персональным сведениям относят (Кассационное определение 3-го КСОЮ от 23.03.2022 № 88а-4692/2022, Кассационное определение 9-го КСОЮ от 14.12.2022 № 88а-10995/2022).
Файлы cookie: персональные данные или нет
Сookie-файлы могут быть персональными данными, когда они прямо или косвенно относятся к конкретному человеку. Например, в таких файлах может быть никнейм пользователя, его электронная почта, телефон и т. п.
Суды подтверждают, что обработка cookie-файлов — это работа с персональными данными и для нее нужно согласие (Постановление 13-го ААС от 01.07.2016 № 13АП-10775/2016).
Ф. И. О. и дата рождения — всегда ли это персональные данные
Фамилия, имя и отчество в совокупности всегда будут персональными данными. Если же использовать эти данные по отдельности, то эта информация может и не быть персональной. Например, только имя без отчества и фамилии. Это уже не персональные данные. Только по имени конкретного человека не определить.
Учитывайте, есть ли у вас другие идентификаторы. Например, если добавить к имени номер телефона, то такая информация будет персональными данными, поскольку по этим сведениям можно определить конкретного субъекта.
Когда можно не брать согласие на обработку
Обрабатывать персональные данные можно только в случаях, предусмотренных законом. Чаще всего это нужно делать с согласия гражданина, но иногда согласие на обработку не требуется.
Все случаи перечислены в статье 6 Закона № 152-ФЗ. Рассмотрим самые распространенные.
1. Данные нужны для заключения и исполнения договора. Важный момент: за пределы договора обработка выходить не должна. Например, человек купил бытовую технику и его данные вписали в договор ― согласие не нужно. Если же затем его зарегистрировали в базе потенциальных клиентов, то согласие надо получить.
2. Вам нужно исполнить обязанности по закону. Например, нужно сдать отчет или передать информацию в госорган.
3. Вы используете персональные данные, чтобы реализовать права и законные интересы (ваши или третьих лиц) либо достичь общественно значимые цели. Например, на охране записывают данные посетителей, чтобы обеспечить безопасность на территории предприятия. Тут есть условие: права и свободы гражданина не должны нарушаться.
4. Вы участвуете в судебном процессе. Например, приводите в иске данные ответчика.
Точно узнать, когда нужно согласие и когда нет и как его правильно оформить в каждой ситуации, можно в КонсультантПлюс: Ответы на часто задаваемые вопросы к статье 9 Закона о персональных данных. Если у вас нет системы, читайте по бесплатному демодоступу от Что делать Консалт.
Итог
Мы рассмотрели конкретные типы персональных данных, но список неисчерпывающий. Детально разобраться в этом вопросе и найти пошаговые инструкции по работе с персональными данными вы можете в КонсультантПлюс. Еще раз дам бесплатный демодоступ и посоветую материалы:
Каковы обязанности оператора персональных данных
В каком порядке должна осуществляться обработка персональных данных физлиц
