Мы обещали в этом разобраться и обещание свое выполняем.
Факт № 1. Закон не содержит конкретного перечня
В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.
Факт № 2. ПДн бывают трех видов
Закон выделяет три категории ПДн: общие, специальные и биометрические.
- К общей категории относятся Ф. И. О., адрес, телефон.
- К специальной категории закон относит данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- К биометрическим данным относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаз, анализ ДНК и т. п.
Факт № 3. Судебная практика по ПДн
Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:
- Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
- Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
- Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными. - Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
- Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
- Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
- Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
- Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).
Применительно к отнесению данных к персональным важно понимать еще два момента:
- Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
- Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).
Факт № 4. Более сложные материи
Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.
- Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).
При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).
Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный). - Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.
Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.
Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.
Комментарии (16)
007913
10.03.2016 09:49Огромное спасибо за судебные решения, на досуге рассмотрю обязательно.
Прочтя пост тоже обратил внимание :(, получается на отнесение почтового ящика (логина емейла) к категории ПД влияет сам пользователь, в отличии от остальных случаев, будет какой-нибудь ПД-тролль регить аккаунты на почту с фамилией.
Потому видимо от греха подальше при разработке сервисов — там где пользователь в самом начале вводит свою почту для подтверждения и желаемый пароль — уже там надо ставить галку согласия на обработку ПД :(…
tweek666
10.03.2016 09:52Биометрические персональные данные, по сути, относятся к специальной категории персональных данных.
Относите ли фотографию человека к биометрическим персональным данным?zarlaw
10.03.2016 09:59закон разделяет специальные и биометрические данные (выделяя их в две разные статьи)
Относительно фото есть разъяснение Роскомнадзора и ведомство указывает следующее "… Исходя из определения, установленного Федеральным законом "О персональных данных", к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта". Но по сути биометрическими будут изображения, которые используются для идентификации личности. При этом например фото в личном деле работника ведомство к биометрическим ПДн не относит (поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора). Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными
.tweek666
10.03.2016 12:22Данные о судимости также упоминаются в законе отдельно, но все вышеперечисленное я бы отнес к специальной категории данных, исходя из режима регулирования.
По поводу фото, позиция Роскомнадзора была ранее изучена и в принципе ясна, но все равно спасибо. Однако, хотелось бы узнать вашу личную позицию по данному вопросу.zarlaw
10.03.2016 15:12По личной позиции — отнесение фото к ПДн довольно спорно -так как определить физ лицо по нему трудно.
потом для фото есть режи установленный ГК и для защиты его вполне достаточно
Loreweil
13.03.2016 06:24Тут, видимо, речь идет о старых разъяснениях РКН по фото- и видео- съемке. Посмотрите, научно-практический комментарий к 152-ФЗ Роскомнадзора, вышедший осенью прошлого года. Там четко сказано, что теперь РКН считает биометрией только 3D-фото (то есть фото, отражающее особенности рельефа лица). По обычному фото по мнению Роскомнадзора теперь нельзя установить личность потому что: 1. близнецы, 2. гримеры, 3. пластические хирурги и тд и тп. Что тут говорить, меня недавно долго за границу не выпускали, тк у меня в загранпаспорте фото с бородой, а явился на таможенный контроль я без бороды...
tweek666
13.03.2016 11:06Тоже смотрели, только есть один нюанс разъяснения это разъяснения и комментарий не от Роскомнадзора, а при участии руководства Роскомнадзора. Также на моей памяти глава про биометрию за авторством человека не имеющего ничего общего с Роскомнадзором.
g000phy
10.03.2016 14:21Хорошая статья. Особенно радует как суды по одному и тому же вопросу выносят противоположные решения.
Было бы здорово, если бы вы написали статью по поводу «работы на территории РФ» применительно к online проектам. Меня давно занимает вопрос, что же это такое. Попытка прояснить самостоятельно только добавила вопросов: оказалось, что само понятие территории РФ определено очень слабо (в конституции по сути написано, что территория это территория) и только, кажется, в налоговом кодексе было, что это то, что находится в пределах гос. границ. А очень хотелось бы понимать, с какого момента (по каким признакам) наши законодатели решают, что работа на территории РФ таки происходит и надо бы срочно обложить налогами, залицензировать и зарегулировать.
vikarti
12.03.2016 18:23а что с мобильными приложениями?
пример: приложение при старте предлагает регистрацию либо e-mail и пароль либо логин через Facebook (но просит у Facebook'а по минимуму данные — публичный профиль, e-mail и друзей (на будущее)).
при работе собирает данные о определенных действиях пользователя (и это основное назначение, о чем сказано на странице в Google Play)
реально сохраняются на сервере e-mail/хеш пароля(если был), токен авторизации Facebook и данные о действиях пользователя
галки «да, я согласен на обработку персональных данных» в данный момент нет
при этом данные хранятся в США (или где там у Parse.com дата-центр)
Если строго по закону — нужно для российских пользователей добавить галочку про согласие с обработкой ПДн прямо на форму логина + перенести хранение их данных в Россию + регистрироваться в Роскомнадзоре как оператор ПДн?
007913
13.03.2016 17:37"оператор ПДн" это не выдаваемый государтвом статус — вы его получаете автоматически работая с персональными данными граждан РФ на территории РФ, соответственно получаете и обязанности с ним в нагрузку. На вас как гражданина действуют права и обязанности по умолчанию — и тут также. Насколько я понимаю.
Loreweil
13.03.2016 06:31Про определение самих персональных данных и почему оно такое размытое много написано в научно-практическом комментарии Роскомнадзора к 152-ФЗ. Оказывается для формирования определения собиралась целая рабочая группа. Размытым и непонятным определение "персональные данные" получилось судя по данному документу для того чтобы учесть интересы всех заинтересованных сторон (на деле получается, такое определение выгодно только регулятору).
Про логин и пароль в этой книге тоже есть интересные вещи, например то, что эта пара является простой электронно-цифровой подписью со всеми вытекающими последствиями.
Кому интересно, некоторую выжимку по этому талмуду я делал здесь: https://megamozg.ru/post/17788/
Там же в комментах есть до сих пор работающая (к моему удивлению) ссылка на саму книгу.zarlaw
14.03.2016 09:12Разъяснения Роскомнадзора действительно довольно интересны, но на практические вопросы там не так много ответов (хотя конечно есть и полезные вещи)
miksoft
«В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн».
«Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.»
А что получится в точке их пересечения? Ведь сейчас все чаще в качестве логина используется адрес электронной почты (в первую очередь, собственно, на сервисах электронной почты) или номер телефона.
zarlaw
если логин это адрес электронной почты, то стоит рассматривает его не как логин, а как почту
хотя вопрос