Какая информация относится к персональным данным?
Что такое персональные данные?
Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональными данными является любая информация, прямо или косвенно относящаяся к конкретному физическому лицу (субъекту ПД).
Операторы персональных данных (работодатели, государственные органы, коммерческие организации) обязаны:
- обеспечивать конфиденциальность информации (ст. 7 закона № 152-ФЗ);
- получать согласие на обработку ПД (ст. 9 закона № 152-ФЗ);
- применять меры защиты от утечек.
За нарушение требований законодательства предусмотрена административная, гражданско-правовая, дисциплинарная и даже уголовная ответственность.
Какие данные не считаются персональными?
Закон не содержит исчерпывающего списка сведений, не относящихся к ПД, но на практике к ним можно отнести:
- обезличенные данные (например, статистика без указания конкретных лиц);
- государственные номера автомобилей (если они не привязаны к Ф.И.О. владельца);
- номера лицевых счетов ЖКХ (без указания персональных данных собственника);
- видеозаписи с камер наблюдения (если они не используются для идентификации личности).
Важно учитывать, что даже обезличенная информация при определенных условиях может быть деанонимизирована, поэтому следует соблюдать осторожность при ее обработке.
Спорные случаи: какие сведения относятся к ПД?
1. Номер телефона.
Если номер зарегистрирован на конкретного человека, он считается персональными данными (п. 1 ст. 3 закона № 152-ФЗ). Однако корпоративные номера, не привязанные к физлицу, ПД не являются (Письмо Минкомсвязи от 07.07.2017 № П11-15054-ОГ).
2. Номер квартиры.
Сам по себе номер квартиры или адрес без Ф.И.О. не позволяют идентифицировать человека, поэтому не считаются ПД (определение Первого кассационного суда от 18.11.2020 № 88-26394/2020). Но если указаны Ф.И.О. и сумма долга за ЖКУ — это нарушение закона о защите персданных.
3. Электронная почта.
Если email зарегистрирован на конкретное лицо, он относится к ПД, даже если в нем нет имени и фамилии (письмо Роскомнадзора от 20.01.2017 № 08АП-6054).
4. Ф.И.О.
Фамилия, имя и отчество — это персональные данные, так как они позволяют идентифицировать человека. В некоторых случаях (например, в судебных решениях) используют инициалы для минимизации рисков (Апелляционное определение Свердловского облсуда от 07.08.2019 № 33-13351/2019).
Но есть исключения. К примеру, сведения об индивидуальных предпринимателях, которые тоже содержат их Ф.И.О., а также ИНН, находятся в открытом доступе (ЕГРИП) и не требуют дополнительного согласия на обработку (Письмо ФНС от 09.09.2019 № ПА-4-6/18073@). Однако вне рамок предпринимательской деятельности эти данные остаются персональными.
5. Дата рождения.
Сама по себе дата рождения не всегда позволяет установить личность, но в сочетании с другими данными (Ф.И.О., адресом) становится ПД (определение Санкт-Петербургского горсуда от 26.03.2013 № 33-3815/13).
6. Фотография.
Фото считается биометрическими персональными данными, если используется для идентификации личности (например, на пропуске). Однако съемка в публичных местах (концерты, митинги) не требует согласия (ст. 152.1 ГК РФ).
7. Подпись.
Поскольку подпись уникальна и позволяет установить личность, она относится к ПД (п. 1 ст. 3 закона № 152-ФЗ).
8. Должность.
Информация о занимаемой должности может быть персональной, если позволяет идентифицировать сотрудника. Однако в ряде случаев (например, при проверках) ее передача третьим лицам допустима.
Подведем итоги
Персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека. Работодатели и другие операторы ПДн обязаны обеспечивать их защиту и получать согласие на обработку. В спорных случаях (например, с email или номером телефона) следует исходить из контекста использования данных. Соблюдение требований закона № 152-ФЗ поможет избежать штрафов и судебных разбирательств.
