Чтобы стало ещё интересней — цитата Главы Роскомнадзора Александра Жарова (на этой должности он, между прочим, уже 5 лет): "… фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных".
И, как показывает мой опыт, а также анализ материалов, вопрос о том, относится ли email к ПДн или нет? К тому же — закон Яровой делает из ПДн просто артефакт неведомой важности.
Собственно, есть две основные позиции:
- Да, безусловно;
- Нет, потому что...
Для кого-то этот вопрос не актуален, но для многих — ещё как: скажем, для таких проектов как Golos, а также для сервисов, которые в принципе не хотят собирать ПДн, например, продавая VPN/proxy; одноразовые пароли доступа; виртуальные sim и т.д. О правовом статусе самих проектов — в одной из следующих публикаций, а пока — несколько поясняющих примеров.
- admin[@]....ru — это очень старый email, который был создан одним, не известным ныне, администратором. Email не принадлежит компании, но сразу несколько лиц используют его (админ — для получения технических писем; юрист — для ответа по старым проектам; менеджер — при регистрации на сторонних ресурсах). Кого из них идентифицирует email? Ведь в ст. 3 ФЗ №152 сказано: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», — речь идёт о лице, но не о лицах, не так ли?
- А вот следующий пример: supp@money.yandex.ru — поддержка Яндекс.Денег, support@ridero.ru — поддержка одноимённого сервиса и подобные же email есть у многих: от обычных обменников и до банков, от интернет-магазинов и до социальных сетей. Отвечает там, как правило, человек (не всегда). И переписка может вестись годами: например, у меня в почте есть цепь, возраст которой — более 3 лет и там свыше 500 сотен писем, но я до сих пор не знаю, как именно зовут тех, кто мне отвечает. Да и не нужно мне это. Вопрос в другом support@, help@ и другие email технической и клиентской поддержки это тоже не ПДн? Вроде бы, ответ очевидный — да. А могут ли быть такие адреса на общедоступных, публичных сервисах? Безусловно: простой перебор по истории своих ящиков показал, что как раз региональные интернет-магазины этим не брезгуют, но есть ответы и от куда более крупных компаний.
- Отдельно я бы ещё выделил email «обратных ответов»: это те, где написано что-то вроде: «это автоматическое письмо, отвечать на него не нужно». Они явно никого не идентифицируют и ПДн не являются?
- А ещё можно вспомнить многочисленные сервисы временных email и понять, что за каких-то 30 минут у одного адреса может смениться несколько владельцев. И кого из них он будет идентифицировать, скажем, через день?
Итак, когда я как it-юрист слышу, что: «email — это персональные данные», — то у меня сразу же возникает резонный вопрос: «это общее утверждение, но при этом есть явные исключения из него, значит подобное заключение не верно?». Сразу скажу, что, например, в суде, доказать подобное будет несколько сложнее, но это вопрос уже иного плана.
Идём далее: а что же такое email/электронная почта вообще? Для начала — "технология и служба по пересылке и получению электронных сообщений", то есть изначально электронная почта не призвана кого-то и как-то определять (вообще-то я сторонник куда более верного, с позиции юридической техники, термина — идентифицировать, но и это — отдельный и большой вопрос).
И всё же в ряде случаев email может идентифицировать человека: самый распространённый случай — когда он используется в качестве АСП. Чуть подробней: ст. 160 ГК говорит о том, что «использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных „законом“, иными правовыми актами или соглашением сторон». При этом сам email АСП сделать довольно сложно (мешает относительно открытый характер), но вот обычная пара «логин (email) — пароль» — вполне. Да и можно пойти (и многие — идут) и прийти к понятию ЭЦП, которое ныне весьма точно определено в ст. 2 ФЗ «Об электронно-цифровой подписи». Кроме того, почта на одном домене всегда создаётся как уникальная (вопрос к хабросообществу — есть ли исключения?): скажем, admin@gmail.com дважды забить не получится, собственно, поэтому мы имеем mail.ru, inbox.ru, bk.ru, list.ru или ещё более интересную ситуацию (одновременной регистрации логина на разных доменах) в Яндекс.Почте. К слову, именно Яндекс идёт по пути (см. его сервис «паспорт»), когда почта идентифицирует субъекта однозначно: например, к ней привязывается счёт в Яндекс.Деньгах (которые, к слову, являются вообще отдельным юридическим лицом). Да и сами гос. органы всё чаще используют электронную почту как однозначный идентификатор граждан: скажем, можно посмотреть Приказ Роскомнадздора от 14 июня 2007 г. N ГК-389фс. Кстати, как раз позиция гос. органов доказывает, что ПДн для них — всегда совокупность данных: например, тот же email принимается, если запрос является не анонимным. Анонимные запросы (без ФИО и других идентифицирующих данных) не принимаются к рассмотрению.
Это с одной стороны.
А с другой, в тех случаях, когда email берётся, а идентификация по нему не проводится, — вопрос о ПДн можно решить иначе: изначально даже не пытаться идентифицировать лицо. К слову, в том же Golos'е есть так называемая верификация, когда происходит подтверждение личного/корпоративного блога на Хабре, собственном сайте или где-то ещё. И это — шаг к ПДн, а не от них.
Таким образом, я бы не стал утверждать, что email — это однозначно и всегда ПДн и тем более говорить, что адрес электронной почты никогда не является ПДн. Скорее на сегодняшний день, существующая формулировка ФЗ №152 и иные нормативно-правовые акты, а также позиции судебных инстанций позволяют подойти к этому вопросу с разных сторон.
Для примера: «по общему правилу юридически значимое сообщение может быть направлено с помощью электронной почты, факсимильной и другой связи, осуществлено в иной форме, соответствующей характеру сообщения и отношений и позволяющей достоверно установить, от кого оно исходило и кому адресовано», — Пункт 65 Постановления Пленума Верховного Суда РФ от 23.06.2015 № 25.
Почему же так, спросите вы? Да всё просто — сам закон даёт ответ на это: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей» (ст. 5). Цель — то, что помогает разобраться: ПДн ли это и главное — если да, зачем используются.
И, наконец, я бы рекомендовал смотреть в сторону разрешённого лайфхака: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его… иные персональные данные, сообщаемые субъектом персональных данных» (ст. 8 всё того же ФЗ №152).
P.S. Если тема продолжит быть интересной, то хотелось бы ещё обсудить: IP, ники и главное собирательное понятие «поведенческие данные» (сюда можно отнести мета-данные, запись поведения пользователей и многое другое).
Комментарии (57)
olku
03.05.2017 13:42+2Предмет неутихающих споров в разных юрисдикциях с похожей формулировкой ПД.
Необходимым (но не достаточным) условием является уникальность. Достаточное условие — однозначная привязка к конкретному лицу в конкретный промежуток времени. Но это сложно, поэтому закон расширяют рекомендациями, смысл которых в «лучше перебдеть чем недобдеть». Так, в Германии IP — это персональные данные, хотя технически это не совсем и не всегда верно.
Для разработки политик защиты и классификации ПД в базах, применяю правило «Можно ли эти данные использовать для нанесения ущерба лицу?» Емейл подходит — фишинг. Точный адрес и фамилия тоже подходит — фейковый счет на оплату. И т.д.
Menaskop
03.05.2017 13:53По фишингу — вопрос неоднозначный: если есть счёт в банке или ЭПС. Но это уже не просто email, а опять — совокупность. По ФИО — выше вот комментарий про тёзок верен.
Более того, мои ФИО таковы, что меня в суде за 2 года «задерживали» 3 раза: в розыске те, у кого фамилия и инициалы совпадают. И не всегда приставы владеют системой. как надо. Решалось всё и всегда быстро. Но факт есть факт.olku
03.05.2017 14:04+1Да, ФИО не обладает необходимым условием. В комплекте, например, с ИНН или номером действительного паспорта — уже можно кредит оформить.
Компании оперируют терминами денег, т.е. возможными потерями при возникновения ущерба у клиентов. Отсюда и принцип классификации, сугубо практический.kozzztik
04.05.2017 12:01Другими словами, если кредит можно будет оформить просто по ФИО, то оно станет ПД? Теперь у нас кредитные организации определяют что такое ПД а что нет?
olku
04.05.2017 12:26Это вопрос кому? ПД опредлено законом, а дальше мучайтесь сами. :) Об этом же статья.
kozzztik
04.05.2017 13:18это к логической цепочке: можно оформить кредит -> ПД
olku
04.05.2017 13:26Я рассказал про практическое решение, к переопределению ПД отношения не имеет. Возможно, оно будет полезным кому-то еще для защиты данных клиентов. Решайте сами. Схоластикой заниматься нет ни времени, ни желания. В случае чего все равно будет виновата компания, суды обыно выносят решения в пользу клиентов.
PapaBubaDiop
03.05.2017 15:30+1С точки зрения Apple Review Team даже имя вашего iPhone — персональные данные. И вы не можете использовать его без согласия хозяина.
Menaskop
03.05.2017 15:55Это как раз вот про следующую публикацию: не только «Яблоко» даёт подобные «директивы». И вообще-то это во многом не правильная политика. Безусловно, не с позиции корпорации самой.
SbWereWolf
03.05.2017 16:12телефон персональные данные? мне кажется с почтой вопрос решается по аналогии.
личная почта — персональные данные, рабочая — нет.Menaskop
03.05.2017 16:23ну с телефоном всё ещё сложнее.
по почте: личная почта — это ПДн, т.е. узнав почту test@test.ru вы сразу же, без анализа доп. информации, сможете сказать, что а) общаетесь с одним конкретным субъектом? б) что доступ к этой почте есть только у него? в) сможете всегда определить, всё, что требуется для цели обработки ПДн?
Верно я вас понял? Очень рад, что вы столь внимательно прочитали статью.olku
03.05.2017 16:48С личным телефоном просто. Не зря до сих пор бомбят «я попал в аварию, срочно денег надо»
Menaskop
03.05.2017 16:58Нет, не просто: сами по себе 11-12 и т.д. цифр ничего не скажут. Вы сможете по номеру телефона, без звонка и смс определить, скажем, пол субъекта? возраст?
Да, по ФЗ «О связи» вызов телефона с sim — это вызов субъекта. И тут проблем нет. Идёт полностью идентификация. Для ОпСоСов это подходит. Для банков в большинстве случаев — тоже. Но только возникает сразу масса проблем с безопасность (есть в моих статьях — можете посмотреть). И возникает сразу вопрос — а на сколько это всё соответствует обязанностям операторов? И т.д. Поэтому к телефону часто добавляют что-то ещё: логин и пароль; ключевое слово и т.д.kozzztik
03.05.2017 17:31а откуда вот это ограничение «без звонка и смс»? Номер телефона он ведь для того и есть, что бы по нему звонить и смс писать. По ФИО и адресу проживания, номеру паспорта самим по себе тоже не всегда можно определить пол и возраст, но очевидно, это вполне себе персональные данные.
Menaskop
03.05.2017 17:42Ещё раз: ФИО являются ПДн, когда они однозначно определяют какого-либо субъекта. Иванов Иван Иванович с бланков — это не субъект ПДн и эти данные, поверьте, не внесены ни в одну БД, даже гос. органов. Определяющее слово в ст. 3 — субъект. Нет субъекта — нет ПДн.
Menaskop
03.05.2017 17:45Что касается ограничения — то это не ограничение, а довод: без них вы номер телефона к кому и как привяжите? А это — уже совокупность данных и действий. Не только для этого подобные манипуляции производятся, но факт есть факт: совокупность данных и оторванные данные — это разные вещи, по-разному интерпретируются. Поверьте, судебная практика идёт ровно этим же путём.
kozzztik
03.05.2017 19:55а фио с адресом, фотографию, да что угодно, вы к кому и как привяжете? И как вы определили их «оторванность»? И «поверьте судебная практика идет тем же путем» в примерах пожалуйста.
Menaskop
03.05.2017 17:48Вот вам простой пример из практики: в организации есть два Артёма. Оба занимаются разными, но смежными вопросами. Возникает переписка в чате. Потом этот чат проверяет гос. орган. Там идёт: Артём… Артём… Никита… Иван… Сергей… Анна… Артём… Артём. Кто из этих Артёмов Артём №1, а кто 2?
kozzztik
03.05.2017 19:46Так ваша аргументация тем не менее все равно никуда не годится. Без дополнительных усилий(аналогичных звонку) однозначно и наверняка определить конкретную характеристику человека, такую как пол, можно определить только если она там в явном виде будет присутствовать. Учитывая что характеристика взята с потолка, то это просто софистика, а не довод.
Menaskop
04.05.2017 04:17Нет, всё как раз сводится к тому, что ПДн — это всегда совокупность данных. Да, в законе об этом не написано; да, формулировки — слишком грубые. Но, если взять практические ситуации, то всё сразу становится на свои места.
kozzztik
03.05.2017 17:34Переписываясь с кем то по бумажной почте, указывая полные ФИО и полный адрес проживания, вы можете всегда определить тоже самое?
а) общаетесь с одним конкретным субъектом? б) что доступ к этой почте есть только у него?
и так далее.
kozzztik
03.05.2017 17:30Простите, но по аналогии. «Данила Сергеевич Багров 1975г.р, проживающий по адресу ул. Вокзальная 22» — это персональные данные? Очевидно да. Откуда вам знать, что это на самом вымышленный персонаж?
Вы можете с тем же успехом отправить настоящее бумажное письмо на адресу на имя «Саппортер саппортерович Инженеров», там его могут получить и вам на него ответить. Это не значит что теперь по этому поводу ФИО + год рождения + адрес проживания не являются ПД, и с ними можно делать что угодно. И какое вообще отношение имеет «цель» к определению является ли информация ПД или нет? Типа если не для идентификации собирать, то можно вообще всю инфу о человеке собрать, в одно место положить, и сказать «ну это же не для идентификации, а законных целей ради», и нормально? Что за бред.Menaskop
03.05.2017 17:40«Данила Сергеевич Багров 1975г.р, проживающий по адресу ул. Вокзальная 22» — это не ПДн по определению: субъект и персонаж — это разные люди, скажем так. Это первое.
Второе, цель важна в том аспекте. что для кого-то важно сделать email ПДн, а для кого-то (и таких — много) нет. От этого зависит, а) как email использовать, б) совместно с чем, в) для чего и г) главное — каким образом. Можно, например, хранить вообще хэш email, который, как, например, пароль, никто не сможет при обычных условиях расшифровать обратно, но при этом связка с email будет уникальной. Ну md5 для этого не подойдёт, но что-нибудь помощнее.
Бред, это когда люди, не разобравшись, лепят одни и те же вопросы на разных форумах, а потом в судах возникают дела из ни откуда с целью — в никуда. Тоже касается и ФИО, т.к. если в где-то в зале — они определят человека, а, скажем, в Сети или даже в большой БД — нет. Нужна доп. информация. И это не просто рассуждения — а выводы из практики, простейшая часть которой — выше.kozzztik
03.05.2017 19:52Вы никак не можете узнать персонаж это или человек, пока не убедитесь в его существовании. Если дело будет разбираться о каком то конкретном случае, то это будет иметь значение. Если речь о массиве данных, где будут вперемешку реальные данные с вымышленными, как обычно это и бывает, то на деле суд скажет что это все дружно персональные данные, и никто не будет разбирать что половина да, а половина «не совсем». Да и как вы себе представляете на практике это проверять? Прилетел адрес и ФИО — это персональные данные, вы не можете угадать, реального они человека или вымышленного.
Попробуйте привести хоть один случай из практики, когда это было не так.
Artnem
03.05.2017 18:31+1Спасибо Вам за злободневную статью.
В моей практике тоже постоянно возникают вопросы, что считать ПДн, а что — нет. Определение ПДн в 152-ФЗ настолько резиновое, что при наличии желания под него можно подтянуть все что угодно. Много особенностей, которые в каждом конкретном случае могут вести себя совершенно по-разному. Тот же e-mail — если он «привязан» к конкретному физлицу (через номер телефона, например), то вполне может быть интерпретирован как ПДн — НИЧТО в 152-ФЗ этому не препятствует! Здесь даже вопрос не моей персональной точки зрения, а то, что в принципе e-mail в случае спора может быть признан судом достаточной информацией для идентификации лица (конечно, в судебном споре я буду приводить кучу других аргументов в пользу того, что это мол не ПДн, но вот боюсь, что ссылка на личное мнение г-на Жарова вряд ли прокатит).
Если речь не идет о судебном споре, то всегда придерживаюсь следующей презумпции: при сборе/обработке чьих-либо данных нужно исходить из того, что эти данные потенциально могут быть оценены как ПДн, пока нет железных доказательств обратного. И подходить к обработке такой информации следует именно с позиций 152-ФЗ.
Если мы, например, размещаем на сайте форму обратной связи, где есть имя + e-mail, то, возможно, один пользователь укажет вымышленное имя и адрес корпоративной почты (ни то, ни другое — не ПДн), а другой — свои настоящие ФИО (которые сами по себе, в отрыве от другой информации, не являются ПДн в силу прямого указания в Законе) и свой же личный адрес e-mail (в настоящее время большинство почтовых сервисов привязывает адреса к номеру телефона, а номер телефона, в свою очередь, позволяет идентифицировать лицо). В совокупности это уже — ПДн, потенциально достаточные для идентификации лица. Но мы заранее не можем предугадать, какой пользователь как себя поведет, поэтому вынуждены исходить из того, что имеется вероятность получения ПДн от пользователей — со всеми вытекающими последствиями.Menaskop
03.05.2017 18:35+1Доброго, в целом — всё верно и в общем-то я согласен. Вопрос в статье про случай, когда email взят сам по себе. Привязка к телефону в этом случае есть у почтового сервиса, но не сервиса, который взял сам адрес почты. Я писал про Golos как раз, но вообще-то таких сервисов сейчас всё больше. И в этом случае, когда нет дополнительно — ФИО и т.д. — привязать email к ПДн можно, но, как я указал выше и в статье тоже — на самом деле даже на практике сделать это можно не всегда. В остальном — да, плюс.
Artnem
03.05.2017 18:48Согласился бы на все 100%, если опять же не пресловутое легальное определение ПДн в 152 — «информация, относящаяся прямо или косвенно к определенному или определяемому лицу». Определение не дает ответа на вопрос — определяемому кем? Только ли оператором ПДн? Или определяемому хоть кем-то в принципе (пусть хоть в ходе ОРД)? Отсюда и все риски. В суде, конечно, буду стучать пятками и доказывать первый вариант толкования. Но подспудно буду понимать, что суду ничто не мешает пойти и по второму пути.
Menaskop
03.05.2017 18:53Нет, всё же однозначно — оператором, т.к. это из общего толкования норм этого же ФЗ вытекает: например, ст. 5 " Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой", т.е. если мне телефон не нужен, то и привязку к нему я не осуществляю и моя цель в этом случае — отлична от цели почтового сервиса. И аналогично — по ст. 9 субъект ведь даёт согласие в каждом конкретном случае на конкретные данные, поэтому нельзя сказать, что кем-то, кроме оператора — это нарушит принципы самого закона.
На самом деле — такого пока не встречал (если есть практика — кидайте, изучу), чтобы кто-то расширял цели обработки ПДн оператором, т.к. в этом случае нарушаются уже принципы частного права, скажем, невмешательства в частные дела. Да, при ОРД могут определить ПДн иным образом, но это и будет уже иное правоотношение — публично-правовое.
Contriver
03.05.2017 20:44Определение ПДн в 152-ФЗ настолько резиновое
Нужно правильно трактовать его, использую соответсвующие документы!
Персональные данные — любая информация, касающаяся конкретного или могущего быть идентифицированным лица (см. кроме ФЗ-152, Федеральный Закон "О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"). Конвенция имеет приоритет над прочими федеральными законами (см. часть 4 статьи 4 ФЗ 152 «О персональных данных»).Конвенкция ратифицирована(имеет законную силу в РФ) Федеральным законом от 19 декабря 2005 г. N 160-ФЗ.
Исходя из Федерального закона от 27.07.2006 N 149-ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХТЕХНОЛОГИЯХ
И О ЗАЩИТЕ ИНФОРМАЦИИ
Исходя из статьи ФЗ-149 ст.2 п.4.- п.10 и ст7 п1, п4 о понятии Информации определяем что:
Адрес (e-mail )электронной почты является общедоступным, однако не позволяет идентифицировать субъекта персональных данных как конкретное физическое лицо». То есть, не относится к персональным данным в том смысле, как их понимает соответствующий закон и Роскомнадзор-их должностные лица
Таким образом размещённый в интернете на сайте, соцсети и доступ к котором не ограничен, адрес 1.admin[@]....ru однозначно не является персональными данными, в соответствии со ФЗ-149 ст7 п1, п4
Таким образом пока вы переписываетесь с соседом с помощью своей электронной почты и вы или сосед не выкладываете информацию о адресе электронной почты в Интернет, то email может быть частью персональных данных.
А вот если где то на форуме, соцсети или в комментах некто, каким либо способом (например «слил переписку»), обозначил что адрес 1.admin[@]....ru принадлежит Васе Пупкину с улицы Лизюкова дом100500 кв 0, этот email часть персональных данных и в соответствии с ФЗ-149 ст.7 п.6 и ФЗ-152, вы вправе требовать удалить информацию и «спросить» с некто по всей строгости закона о защите персональных данных!
Автору — какая-то мутная публикация у вас получилось, типа масло масляное или жирное.Artnem
03.05.2017 21:09+1Конвенция имеет приоритет над прочими федеральными законами
А в чем Вы видите существенное противоречие в определениях ПДн, содержащихся в Конвенции и ФЗ-152? Что из конвенционного определения может быть использовано для апгрейда определения ПДн из ФЗ-152?
ФЗ-152: информация, относящаяся к определенному или определяемому физлицу;
Конвенция: информация, касающаяся конкретного или могущего быть идентифицированным лица
Адрес (e-mail )электронной почты является общедоступным, однако не позволяет идентифицировать субъекта персональных данных как конкретное физическое лицо». То есть, не относится к персональным данным
вы или сосед не выкладываете информацию о адресе электронной почты в Интернет, то email может быть частью персональных данных
Здесь одно другому не мешает. Персональные данные тоже могут быть общедоступной информацией — если я как субъект ПДн сам сделал их таковой (см. напр. подп. 10 п. 1 ст. 6 ФЗ № 152). Однако общедоступность не лишает эту информацию режима ПДн, если данная информация относится к «прямо или косвенно определенному или определяемому лицу» (или, если угодно, к «конкретному или могущему быть идентифицированным» лицу)
Menaskop
04.05.2017 04:22+1Ну давайте для начала давайте я вам скажу, что работы по общепризнанным нормам и принципам международного права в 2000х писались в том числе и мной. Второе — вы как раз путаете материал и Вам Artnem верно на это указал. Третье — в Сети вопросы ставятся вот так, как выше: email — ПДн? И даются однозначные ответы. А на практике ответов может быть много. Об этом речь. И четвёртое — адрес электронной почты не всегда является общедоступным в том смысле, как вы написали: на форумах, блогах и т.д., в соц. сетях — тоже есть данные, кот. мы открываем для широкого круга лиц, как указано ниже в комм. — они от этого ПДн быть не перестают. Поэтому вы путаете следствие и причину.
teecat
04.05.2017 12:46Абсолютно точно. Плюс надо добавить, что являются данные персональными или нет нужно определять с помощью модели нарушителя. Одно дело, когда по адресу попытается идентифицировать субьекта простой пользователь сети и совсем другое, когда за дело возьмутся органы
Contriver
03.05.2017 22:19если данная информация относится к «прямо или косвенно определенному или определяемому лицу
Ключевое слово: если она относится
То есть субьект обработки данных уже определён раннее, то есть ваш адрес уже привязан к вам например обработка на сайте в публичном доступе адресной книги с именами, фамилиями, адресами email
Если вы сами сделали общедоступными свои данные ПОЗВОЛЯЮЩИЕ ВАС ИДЕНТИФИЦИРОВАТЬ(разрешили обрабатывать) или некто(без разрешения, за это его наказать)), то это персональные данные.
Разъяснение законодательства
О некоторых вопросах, возникающих при применении положений Федерального закона Российской Федерации «О персональных данных»
10. Обработка персональных данных, сделанных общедоступными субъектом персональных данных.
Под общедоступными источниками персональных данных следует понимать такие источники, доступ к которым предоставлен неограниченному кругу лиц.
Здесь следует отметить, что для того чтобы персональные данные субъекта приобрели категорию общедоступных, необходимо письменное согласие субъекта указанных персональных данных.
Мы обсуждаем как определить что есть персональные данные, событие их обработки ещё не наступило -яйцо и курица.Menaskop
04.05.2017 04:25Ну вот: есть у вас email, кот. передан некому сервису. Больше ничего нет. Email — это ПДн или нет?
Artnem
04.05.2017 06:09Мы обсуждаем как определить что есть персональные данные, событие их обработки ещё не наступило -яйцо и курица.
Ну да, именно это мы и обсуждаем. Только какое отношение имеет к этому все то, что Вы написали?
pda0
04.05.2017 00:52Кроме того, почта на одном домене всегда создаётся как уникальная (вопрос к хабросообществу — есть ли исключения?): скажем, admin@gmail.com дважды забить не получится
Это зависит. Если речь о публичных почтовых серверах, типа gmail, то нет. Но всё меняется если администрация сервиса проявляет заинтересованность. Дело в том, что программное обеспечение писалось под решение задач, а не юридических вопросов. Начинается всё с самого gmail.com. Эта строка вовсе не указывает обязательно на какой-то конкретный сервер. Вполне возможно, что для жителей одного региона gmail.com будет указывать на один компьютер, другого — другой. И на них вполне могут быть разные пользователи admin.
Возможен и обратный эффект. Один реальный почтовый сервер, обслуживающий несколько доменов. И vayia.pupkin@qip.ru, vayia.pupkin@bk.ru, vayia.pupkin@pisem.net.ru внезапно оказывается одним человеком. Хотя выглядит как разные.
Само понятие пользователя или адресата — тоже не более чем указание почтовому серверу, которое тот будет использовать по своему усмотрению (как настроили), перенаправляя письма тому, кому скажут. Собственно так коллективные ящики техподдержки обычно и устроены.
В принципе эффект «два человека на одном ящике» может быть достигнут и без содействия администрации. Те же перенаправления вполне настраиваются в профиле яндекс-почты. И опа, «личный» адрес vayia.pupkin@yandex.ru ведёт на двух и более людей.Menaskop
04.05.2017 04:24+1Ну всё верно в целом (единственное — 2 пользователя admin на gmail — давайте лучше примером, т.к. такого ещё не встречалось).
pda0
04.05.2017 13:45Откуда ж мне знать, встречается такое или нет. Речь шла о теоретической возможности сделать это. Могу лишь описать как сделать это. В первом варианте настраивается dns view и два разных почтовых сервера так, чтобы они оба считали себя gmail.com. В результате для пользователей с одной группу ip-адресов почта будет валиться в ящик admin на одном сервере, для других — в admin на другом. Я сомневаюсь, что кто-то так будет делать в реальности, но это возможно.
Во втором случае всё решается фильтрами на самом сервере, для gmail.com — «Настройки», «Пересылка и POP/IMAP», «Пересылка» и в справке написано как пользоваться фильрами, для автоматического разделения писем.
Mikhael1979
04.05.2017 06:59+1Крайние пару лет мне регулярно прилетают письма о регистрации на всяких левых сервисах, очевидно выполненные по спамерским базам адресов. Обычно я стараюсь такие вещи не оставлять без ответа, перехожу на сайт проекта и пишу в поддержку требование удалить учётку, привязанную к моему адресу. На вопрос «на каком основании?» обычно пугаю поддержку законом об охране ПДн. Примерно в половине случаев поддержка очкует и удаляет учётку.
Menaskop
04.05.2017 07:38Да, потому что объяснить иногда сложно — как оно туда попало. И в этом плане email как ПДн — какая-никакая, но защита в Сети.
uldashev
04.05.2017 15:40Не стоит искать смысла там где его нет, 152-ФЗ это инструмент контроля и давления, как проверяющие скажут, так и будет, если будет у них задача оштрафовать, оштрафуют, будет задача написать в акте что все в порядке — напишут.
Как показала практика, исполнять 152-ФЗ надо на от… ь, любой другой подход — пустая трата времени и ресурсов.Menaskop
04.05.2017 15:41Да, очень часто проводимый подход. Эффективность его измерить сложно, т.к. пока Роскомнадзор проверяет вполне конкретные отрасли
VolCh
05.05.2017 10:14Ситуацию конфликта интересов обычного гражданина и обычного юрлица, ИП или другого гражданина в принципе на рассматриваете?
Menaskop
05.05.2017 12:38Поясните, Вы про комментарий uldashev?
VolCh
05.05.2017 13:28+1Да, если вы мне :). Судя по комментарию он рассматривает 152-ФЗ исключительно в рамках взаимодействия регулятора и операторов, в ситуации когда регулятору даны указания какие результаты проверки "нарисовать". Что могут быть конфликты между гражданами и операторами (либо лицами, которые непонятно являются ли операторами де-факто), а регулятору или суду абсолютно не интересен исход конфликта, а может даже интересно соблюсти букву и дух закона, не предполагается, похоже.
dartraiden
Я помню, что какой-то судья (республика Коми, вроде), прямо заявил, что даже ФИО не являются перс.данными, ведь они не позволяют однозначно идентифицировать (полных тёзок никто не отменял).
Что, впрочем, не мешает прокурорам возбуждаться по поводу наличия формы обратной связи на сайтах. А вдруг туда гражданин ФИО впишет!
В Астрахани прокуратура штрафует сайты фирм на букву «А» за форму обратной связи
Menaskop
Ну, если почитать здесь блог ребят из Роскомсвободы. то можно увидеть, что прокуратура в РФ — это вообще отдельная песня, которая зачастую льётся явно не туда). За ссылку — спасибо
Temych
Еще вот такой интересный случай.
Кстати, сам Роскомнадзор так и не исправил у себя же, на своём сайте ту оплошность, за которую штрафует других.
Никаких предупреждающих сбор и обработку ПДн нет до сих пор:
Menaskop
Вам, как всегда, спасибо за этот, важный, нюанс
hooper
Нужно понимать термин ПДн в другом контексте. Персональные — это данные, которая указала о себе персона. И не важно, можно идентифицировать его по ним или нет. ПДн включает все: емейл, телефон, даже кличка кошки и цвет шнурков. Вопрос не в идентификации, а в сборе данных о лице.
hooper
К слову данные могу быть обезличенными (см. ФЗ-152)