Является ли номер мобильного телефона персональными данными

Сегодня мы поговорим о том, является ли номер телефона персональными данными, и есть ли у кого-то право распространять ваш номер без вашего ведома.

Закон о персональных данных Российской Федерации говорит о том, что все, кто получает личную информацию, не имеют никакого права распространять ее, выкладывать в общий доступ и тому подобное без согласия того, кому эта информация принадлежит.

Касается ли это телефонных номеров? Нет. То есть, не совсем. Номер телефона персональными данными по сути не является, и в законе нет четкого подтверждения обратного.

Но это не значит, что если законом прямо не запрещено, то телефонные номера можно свободно распространять.

Является ли номер мобильного телефона персональными данными

Но это не значит, что если законом прямо не запрещено, то телефонные номера можно свободно распространять. С одной стороны, номер телефона – просто набор цифр, который сам по себе не поможет кому-либо вычислить вас. Однако, если к этому набору добавить вашу фамилию и имя, то ситуация примет весьма неожиданный оборот. Более того, если это конкретно ваш номер, зарегистрированный на ваше имя у мобильного оператора, то идентифицировать вас по нему не составит никакого труда. В статье 3 того же закона написано, что персональными данными является вся информация, которая относится лично к вам, то есть физическому лицу. Это прежде всего ваши Ф.И.О., дата рождения, адрес, образование, семейное положение и все прочее. По сути, кажется логичным, что номер телефона также входит в список вашей личной информации. Но с другой стороны эта же статья описывает «обезличивание» личной информации. То бишь определенные действия, которые влияют на возможность идентифицировать личность по полученным данным. Вот сюда номер телефона точно подходит, так как по одному набору цифр, без информации о его владельце, невозможно вычислить человека, а значит это обезличенные данные и персональными они уже никак не могут являться. Другое дело, когда номер привязан к вашей фамилии и имени, и эта информация при нем указана. Тогда это уже действительно конфиденциальные данные и распространять их без вашего согласия никто не имеет права. Также в дополнениях к этому закону указано, что если по номеру можно вычислить имя и фамилию его владельца, то на распространение номера обязательно получить согласие. Эта поправка может пригодится в случае навязчивой смс-рассылки рекламы на ваш номер телефона. Из всего выше описанного можно сделать общий вывод. Сегодня ваш номер телефона, при условии, что он оформлен на вас лично, является персональными данными, и распространять его никто не имеет права без вашего на то согласия. » width=»800″>

С одной стороны, номер телефона – просто набор цифр, который сам по себе не поможет кому-либо вычислить вас. Однако, если к этому набору добавить вашу фамилию и имя, то ситуация примет весьма неожиданный оборот. Более того, если это конкретно ваш номер, зарегистрированный на ваше имя у мобильного оператора, то идентифицировать вас по нему не составит никакого труда.

В статье 3 того же закона написано, что персональными данными является вся информация, которая относится лично к вам, то есть физическому лицу. Это прежде всего ваши Ф.И.О., дата рождения, адрес, образование, семейное положение и все прочее. По сути, кажется логичным, что номер телефона также входит в список вашей личной информации.

Но с другой стороны эта же статья описывает «обезличивание» личной информации. То бишь определенные действия, которые влияют на возможность идентифицировать личность по полученным данным.

Вот сюда номер телефона точно подходит, так как по одному набору цифр, без информации о его владельце, невозможно вычислить человека, а значит это обезличенные данные и персональными они уже никак не могут являться.

Другое дело, когда номер привязан к вашей фамилии и имени, и эта информация при нем указана. Тогда это уже действительно конфиденциальные данные и распространять их без вашего согласия никто не имеет права.

Также в дополнениях к этому закону указано, что если по номеру можно вычислить имя и фамилию его владельца, то на распространение номера обязательно получить согласие. Эта поправка может пригодится в случае навязчивой смс-рассылки рекламы на ваш номер телефона.

Из всего выше описанного можно сделать общий вывод. Сегодня ваш номер телефона, при условии, что он оформлен на вас лично, является персональными данными, и распространять его никто не имеет права без вашего на то согласия.

Источник: https://sprosiuristov.ru/yavlyaetsya-li-nomer-telefona-personalnymi-dannymi.html

Персональные данные шире, чем вы думали: номер телефона и email — Право на vc.ru

Правительство отнесло e-mail и номер телефона к персональным данным.

Юридическая компания «Рафиков и Партнеры»

Привет. Меня зовут Рустам Рафиков, я юрист, управляющий партнер юридической компании «Рафиков и Партнёры». В статье рассказываю про новое законодательство и рассматриваю вопрос — является ли номер телефона и электронной почты персональными данными.

Время прочтения: 1,5 мин.

13 сентября 2019 г. Правительство РФ дополнило состав персональных данных которые размещаются в единой биометрической системе. Теперь к персональным данным относятся следующие сведения:

​Выдержка из Постановления Правительства РФ от 13.09.019 N 1197 Правительство РФ

Что является персональными данными?

Согласно закону, к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор ранее разъяснял, что такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Проще говоря, если по определённым данным можно вычислить (идентифицировать) лицо, которому принадлежат указанные данные, то такие данные являются персональными.

По этой же причине не являются персональными данными т.н. большие данные, которые представляют собой обезличенную информацию. Именно поэтому, законодатель с 01.10.2019 г. вводит статью 783.1 Гражданского кодекса про договор об оказании услуг по передаче информации (подробнее об этом писали здесь).

Номер телефона и e-mail — персональные данные?

Древний спор юристов о том, является ли номер телефона и e-mail персональными данными, кажется подходит к концу.

Некоторые утверждали, что раз уж законодательство о рекламе требует получения согласия на рассылку по номеру телефону, значит здесь есть аналогия с получением согласия субъекта на обработку персональных данных (получение информации).

Другие утверждали, что это касается законодательства о рекламе и номер телефона, сам по себе, является обезличенным набором цифр. А вот вместе с именем и фамилией, номер цифр позволяет идентифицировать абонента.

Такая же история с адресом электронной почты. Формально, по адресу электронной почты типа saylor.moon@pochta.com можно вычислить имя и фамилию обладателя, но иногда это бывает псевдонимом, ником (например, stervo4ka94@pochta.com). С другой стороны, при получении сообщения мы можем увидеть тег содержащий имя и фамилию обладателя почтового ящика.

Ну и наконец, чего греха таить, известна история с расследованием и выпуском фильма «Он вам не Димон». Авторы фильма утверждали, что идентифицировали личный электронный почтовый адрес председателя Правительства (как раз того, кто подписал постановление, о котором мы и говорим в статье).

Система идентификации граждан и «скоринг»

Всем известно, что государство заинтересовано в идентификации граждан для предоставления тех же госуслуг. Банки используют набор статистических методов для определения надежности, кредитоспособности и в целом, идентификации лица. Данная система иногда называется кредитным скорингом (от англ. scoring — подсчет очков).

«Единая биометрическая система вместе с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получить возможность оцифровать волеизъявление и дистанционно подписывать документы.»

Еще в прошлом году Правительство утвердило состав сведений содержащихся в единой системе идентификации и аутентификации, а теперь дополнило его новыми персональными данными — номер телефона и адрес электронной почты.

Владельцам веб-сайтов рекомендуется присмотреться к данным, которые они получают и обрабатывают . Если вы обрабатываете персональные данные граждан, возможно необходимо разработать внутреннюю политику, согласие на обработку персональных данных (с учетом разумного объема и целей персональных данных), уведомить Роскомнадзор (встать в реестр).

Не забывайте, что предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (так называемое «прайваси» или «right to privacy»).

Статья в Harvard Law Review 1890 г. положившая начало понятию privacy. ​Фото из личного архива, времен обучения в the University of Manchester. Рустам Рафиков

За нарушение законодательства о персональных данных, также предусмотрена административная ответственность. В некоторых случаях, размер штрафа при этом достигает до 300 тыс. руб.

Надеюсь, обзор был интересным. Что вы думаете о таком подходе? Пишите в комментарии.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/83665-personalnye-dannye-shire-chem-vy-dumali-nomer-telefona-i-email

Обработка персональных данных — юридические аспекты оформления сайта

На сегодняшний день многие предприниматели, юристы и обычные пользователи интернета задаются вопросом о необходимости размещения на сайтах документов, регулирующих правила пользования сайтом (сервисом), порядок и основания обработки персональных данных пользователей.

После внесения поправок в КоАП, которые увеличили ответственность за нарушение законодательства в области персональных данных, эта тема приобрела особую актуальность.

Разберемся, какие обязательства возникают у оператора-администратора сайта, какие документы необходимо размещать на его страницах и как избежать санкций.

  • В соответствии с Федеральным законом «О персональных данных» оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Здесь же логично привести определение понятию «обработка персональных данных» — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Итак, если на сайте имеется какая-либо форма запроса, регистрации или иная форма, подразумевающая ввод и предоставление персональных данных пользователем, то лицо осуществляющее их сбор (администратор сайта), признается оператором персональных данных.
Читайте также:  Как внешне отличить айфон 4 от 4s

В соответствии с ФЗ № 152 от 27.07.2006, персональные данные (сокращенно — ПДн) – это любая информация, относящаяся прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных).

Установленная законодателем формулировка очень расплывчата, в связи с чем в судебной практике имеется большое количество споров по вопросу отнесения тех или иных данных к персональным.

Например, самый актуальный вопрос на сегодня – является ли номер телефона, без предоставления имени, фамилии и иной конкретизирующей информации, персональными данными? В разъяснениях Роскомнадзора прослеживается позиция о непринадлежности номера телефона, без указаний на дополнительную информацию о субъекте, к персональным данным. При этом судебная практика говорит об обратном – суды подчеркивают, что даже если номер телефона размещен в интернете (находится в открытом доступе), использовать номер телефона в своих целях без согласия субъекта неправомерно (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016).

Если говорить о предоставлении субъектом одного только имени (даже вымышленного), то здесь уместно вспомнить, уже ставшее известным, дело о возложении Роскомнадзором штрафа на юридическую компанию в связи с тем, что в форме запроса не была опубликована политика конфиденциальности, хотя пользователь мог предоставить только имя без указания на иные данные (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

В связи с тем, что законодатель не установил четкий перечень персональных данных, то имя, фамилия, номер телефона, адрес электронной почты и т.д.

, предоставленные по отдельности, по мнению судов, подпадают под определение понятия персональные данные и к нарушителям можно применять соответствующие меры ответственности.

Поэтому, если администратор сайта собирает какие-либо данные, прямо или косвенно определяемые с лицом, стоит позаботиться об оформлении надлежащих документов на сайт, о которых расскажем ниже.

Итак, в случае создания сайта или его активного использования на просторах интернета, на что стоит обратить внимание:

На сайте существует какая-либо форма запроса – администратор является Оператором, и ему следует соблюдать определенные требования закона.

Предоставляя персональные данные, любой пользователь должен получить непосредственный доступ к обязательному документу – политике конфиденциальности/обработки ПДн. Такую обязанность устанавливает уже упоминаемый Федеральный закон «О персональных данных».

Документ должен содержать подробное описание порядка получения согласия пользователя на обработку его персональных данных (ФИО, телефон, адрес электронной почты и прочие), способы и цели обработки персональных данных, требования к обеспечению их конфиденциальности, сроки обработки и иную информацию, указанную в п.7 ст. 14, п.1 ст. 18 ФЗ «О персональных данных».

Значит, политика конфиденциальности размещается в обязательном порядке.

Далее законодатель устанавливает обязанность администратора сайта получать согласие субъекта на обработку его персональных данных.

Ст. 9 ФЗ «О персональных данных» устанавливает форму согласия в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Некоторые сайты, наряду с политикой, предоставляют текст согласия. Но чаще всего пользователь дает согласие путем проставления галочки в форме запроса или же нажимая кнопку «отправить/подтверждаю», что правильнее?

Обязательное условие для формы согласия субъекта о предоставлении персональных данных – возможность подтвердить факт его получения, поэтому целесообразно включить в форму запроса рамку для галочки. Размещение одного только текста согласия будет являться нарушением, хотя в дополнение к галочке не лишним.

Обращая внимание на проверки Роскомнадзора и назначения органом многочисленных штрафов за несоблюдение законодательства в области персональных данных, в форме запроса следует разместить в обязательном порядке:

  • Ссылку на политику конфиденциальности;
  • фразу о том, что пользователь ознакомлен с соглашением и политикой и согласен с предлагаемыми условиями, осознанно дает согласие на обработку персональных данных: «Даю согласие на обработку моих персональных данных…»;
  • Форму для галочки.

На сайте располагается сервис, предоставляющий пользователям, зарегистрированным в соответствующем порядке, доступ к его использованию / Сайт предоставляет личный кабинет.

Примером могут быть те же социальные сети, сайты с играми и иные сайты, содержащие личный кабинет и/или предоставляющие широкий функционал.

В данном случае целесообразно заключить с пользователем соглашение, которым будут устанавливаться права и обязанности сторон. Такой договор приобрел свое наименование «Пользовательское соглашение» и раскрывается как соглашение пользователя с условиями, предлагаемыми администратором сайта. По своей правовой природе пользовательское соглашение является договором присоединения, согласно ст.

428 ГК РФ. Размещение его в форме запроса/регистрации рассматривается как оферта (предложение заключить договор на определенных одной стороной условиях). Совершение пользователем конклюдентных действий (поставил галочку, нажал кнопку «отправить», прошел процедуру регистрации, предоставил данные), в зависимости от того, какой порядок установлен в соглашении, будет считаться акцептом (согласием).

В форме регистрации, обратной связи и иной форме, подразумевающей предоставление пользователем персональных данных, также, как и в первом случае должны располагаться политика, галочка, фраза и теперь еще соглашение.

Пользовательское соглашение для администратора сайта будет помощником в вопросе надлежащего использования сервиса/сайта пользователем. В соглашении можно определить каким образом пользователь использует сайт, запреты и ограничения использования, получение доступа в личный кабинет, блокировка, удаление пользователя, ответственность администратора/пользователя и иные условия.

На данном этапе развития судебной практики, суды признают пользовательские соглашения в качестве надлежащего доказательства, принимают во внимание его условия. Тем самым оно способно защитить интересы владельца/администратора сайта.

В качестве примера, можно привести судебное дело между ЗАО «ПравдаРу» и ЗАО «РУТЬЮБ». РУТЬЮБ осуществил воспроизведение и распространение фильма на своем сайте. Истец (ЗАО «ПравдаРу») потребовал взыскать с Ответчика компенсацию за нарушение авторских прав на фильм.

Суды всех инстанций отказали во взыскании компенсации, обосновав тем, что в пользовательском соглашении, размещенном на сайте Ответчика, ответственность за противоправное распространение фильма несет пользователь (Постановление девятого арбитражного суда № 09АП-32374/11 от 27 декабря 2011 года).

  1. Закон пока не устанавливает обязанности оператора по заключению и размещению подобного соглашения, но как показывает практика, его установление только поспособствует минимизации рисков оператора.
  2. В новой редакции КоАП РФ увеличена ответственность лиц:
  3. — осуществляющих обработку персональных данных несовместимую с целями их сбора влечет наложение штраф на граждан — до 3 000 рублей, на юридических лиц – до 50 000 рублей;
  4. — обрабатывающих персональные данные без согласия в письменной форме субъекта, если такое согласие требуется в соответствии с законом, либо обработка персональных данных с нарушением к составу сведений, включаемых в согласие в письменной форме субъекта – штраф на граждан – до 5000 тысяч рублей, на юридических лиц – до 75 000 тысяч рублей;

— в случае неопубликования на сайте политики обработки персональных данных влечет наложение штрафа на граждан – до 1500 рублей, на юридических лиц – до 30 000 рублей, а также иные виды ответственности, размер штрафных санкций по которым может достигать для юридических лиц до 290 000 тысяч рублей (ст. 13.11 КоАП РФ от 30.12.2001 № 195-ФЗ).

Источник: https://zakon.ru/blog/2017/8/2/yuridicheskie_aspekty_oformleniya_sajta

Является ли номер мобильного телефона персональными данными? — Всё о кредитах

Закон о персональных данных в текущей редакции существует уже почти десять лет, а два года назад существенно ужесточились штрафы за его нарушение. Но статистика показывает, что многие заказчики и разработчики не торопятся его соблюдать.

В этой статье разбираемся с тем, когда возникает риск нарушить закон и как этот риск минимизировать.

Необходим сайт, мобильное приложение, услуги по SEO или контекстной рекламе? Тендерная площадка WORKSPACE поможет выбрать оптимального исполнителя. База проекта насчитывает более 10 500 агентств. Сервис БЕСПЛАТЕН для заказчиков.

Ещё раз о нормах закона

Персональные данные (ПДн) — любая информация, которая позволяет идентифицировать конкретного человека. ФИО, паспортные данные, ИНН, СНИЛС, номер страхового полиса, номер мобильного, электронная почта, почтовый адрес, биометрические данные, информация о здоровье, национальная и религиозная принадлежность — всё это попадает под определение персональных данных.

Однако большинство этих данных могут указывать на конкретное лицо только в сочетании именем или фамилией человека. И если насчет e-mail мнения расходятся (ivanovvv@mail.com уже, например, содержит фамилию и инициалы), то номер мобильного телефона сам по себе не позволит определить конкретного человека.

В законе нет конкретного списка таких данных, поэтому мы исходим из соображений здравого смысла.

Тем не менее, как только организация или физлицо формирует список необходимых ей данных пользователей и утверждает перечень действий с ними, она автоматически становится оператором персональных данных. Напомним, речь идет о коммерческом использовании, а не о хранении номеров телефонов в записной книжке.

Когда мы рискуем?

Теоретически, владелец приложения или разработчик, уполномоченный обрабатывать данные, нарушает закон в следующих случаях:

  1. Если собирает и обрабатывает персональные данные без согласия пользователя

  2. Необоснованно запрашивает данные

  3. Использует данные для целей, не перечисленных в соглашении (например, передает третьим лицам)

  4. Не защищает должным образом приложение от взлома и утечек

  5. Хранит персональные данные не на территории России

И о штрафах

  • За нарушение закона о персональных данных предусмотрена дисциплинарная, гражданская, административная, и уголовная ответственность.
  • Если Роскомнадзор в ходе проверки обнаружит несоответствие закону, дело передается в следственный комитет, затем начинается проверка прокуратуры и другие неприятности, вплоть до приостановки деятельности компании.
  • С 2017 года повысились штрафы за нарушение 152-ФЗ.

Так, если на сайте отсутствует политика конфиденциальности, компания заплатит 30 тысяч рублей, а если данных обрабатываются без согласия клиента, штраф для юрлица составит до 18 млн рублей. Нарушений может быть несколько, за каждое — свой штраф.

В своей практике мы используем несколько подходов, которые позволяют нам делать крутые мобильные приложения, работающие с персональными данными. При соблюдении всех норм закона.

Для тех, кто собирает, хранит и обрабатывает

Если мы разрабатываем мобильное приложение, которое будет собирать персональные данные, важно не забывать получать от пользователя согласие — на обработку, хранение, использование в определенных целях конкретного перечня данных.

В согласии должны быть указаны:

  1. Оператор персональных данных, его представитель, а также тот, кому будет поручена обработка ПДн — компания или физлицо, которые будут хранить, использовать и обрабатывать собранные данные

  2. Цель обработки персональных данных и её правовое основание

  3. Кто предположительно будет использовать эти данные

  4. Права субъекта персональных данных

  5. Источник получения персональных данных

  6. Перечень действий с персональными данными, на которые соглашается пользователь, и совершение которых дается согласие, общее описание способов обработки ПДн

  7. Срок действия согласия и способы его отзыва

  1. Примеры хорошо составленных соглашений можно найти в интернете, например, у крупных компаний: банков, телеком-операторов, интернет-магазинов.
  2. Например, Сбербанк включает согласие на обработку персональных данных в Политику конфиденциальности.
  3. Если приложение регулярно дорабатывается и обновляется, важно контролировать, затрагивают ли нововведения состав собираемых данных и операции над ними.
Читайте также:  Что лучше: планшет или компьютер?

Например, мы добавили в приложение опрос, в котором помимо прочего узнаем, где живут наши пользователи. А ранее мы не обрабатывали данные об их адресах. Теперь у нас изменился состав данных и добавились новые действия с ними.

Если мы при этом не обновили соглашение, то нарушим закон, собирая новые данные без согласия пользователя.

Что делать: обновить текст соглашения, добавив в перечень собираемых данных адрес пользователя, а в список действий — действия с ним. После установки обновлений заново запросить у пользователя согласие на обработку ПДн, предоставив ему обновленное соглашение.

Пример: мы разрабатывали приложение для страховой компании, личный кабинет владельца полиса ДМС.

Мы ещё будем активно дополнять приложение новыми возможностями, а значит, вполне вероятно, что нам понадобятся новые данные или мы будем как-то иначе их использовать. В бэкенде мы оставили возможность обновлять текст соглашения автоматически.

И, разумеется, если обновления коснутся состава или использования персональных данных, мы это соглашение обязательно у пользователя запросим.

Как не собирать персональные данные

В ряде случаев собирать, хранить и обрабатывать у себя персональные данные не обязательно.

Что делать: сделайте мобильное приложение без бэкенда. Все данные, введенные пользователем, будут храниться на его мобильном устройстве и на нем же обрабатываться. Ответственность за их хранение будет лежать только на пользователе.

Даже если приложение будет синхронизироваться с облачным сервисом, чтобы сделать бэкап данных, этот момент уже не касается ни разработчика, ни заказчика приложения.

В этот момент формально всё, что имеет отношение к обработке персональных данных, перекладывается на облачный сервис.

Пример: мы создавали приложение, в котором можно контролировать определенные параметры развития ребенка, сравнивая их с общепринятыми нормами. Большая часть используемой информации представляла собой персональные данные, в том числе данные о состоянии здоровья.

Соответствие закону в данном кейсе представлялось избыточной, длинной и сложной историей. Можно было обойтись вообще без обязательств, которые диктовал 152-ФЗ. Мы не стали делать бэкенд и собирать и обрабатывать эти данные на своих серверах.

Приложение работает только на смартфоне пользователя, там же хранит эти данные и обрабатывает их исключительно в семейных и личных нуждах. Приложение работает, закон соблюден.

Обрабатываешь — отвечай

Многие разработчики полагают, что если они хранят собранные данные в зашифрованном виде, то не являются операторами ПДн. Мы считаем, что это грубая ошибка: любое действие с данными обязывает вас подчиняться закону.

Любая операция с персональными данными, совершаемая в интересах владельца приложения, попадает под действие 152-ФЗ. Даже сбор данных — это уже обработка.

При этом, под действие закона не попадают случаи, когда пользователь обрабатывает собственные данные с помощью приложения (например, калькулятора веса), которое никуда их не передает.

Даже если приложение шифрует данные и отправляет на хранение в облако зашифрованную последовательность символов — это обработка персональных данных. И не важно при этом, где хранится ключ шифрования.

Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В этом случае владелец приложения, либо тот, кому он поручает обработку данных, становится оператором ПДн, обязан получать согласие на сбор и обработку данных и обеспечивать их хранение в соответствии с законом.

Источник: https://cmsmagazine.ru/journal/items-user-personal-data/

Является ли номер телефона персональными данными или нет?

Сегодня у каждого в кармане имеется сотовый телефон и не особо придавая этому значение можем обмениваться контактными номерами.

Поэтому назревает вопрос: входит ли контактный номер в персональные данные? Имеют ли право частное лицо или поставщик разных услуг использовать ваши данные по личному усмотрению, отправляя навязчивую рекламу в текстовых сообщениях или звоня предлагать какие-либо услуги?

Такие ситуации могут происходить каждый день. Поэтому стоит взглянуть, что говорит Федеральный закон на этот счет.

Что говорит закон о персональных данных?

Федеральный закон встает на защиту граждан. В пункте закона о персональных данных есть четкие указания в отношении распространения конфиденциальной информации о человеке. В нем сказано, что третьи лица (частные компании или органы, получившие доступ к персональным данным), не имеют права распространять полученную информацию без личного согласия. 

Теперь надо выяснить, что относится к персональным данным о конкретной личности. К ним относится любые сведения, которые как-либо идентифицирует человека как личность. К этим сведениям относятся:

  • инициалы человека;
  • дата рождения, а также месторождения;
  • сведения о его или ее семье;
  • общее социальное положение личности;
  • место работы, а также занимаемая должность.

Для чего было необходимо принять этот закон?

Поводом для принятия этого закона послужила необходимость устранить барьеры между Евросоюзом в международной торговле.

Сбор и хранение персональных данных необходим для совершения сделок, которая будет проходить скорее всего исключительно между государствами, и обеспечивать их соответствующей защитой.

К примеру, в странах Евросоюза данные законы принимались еще в девятнадцатом веке, как пример, между странами Норвегии и Франции. Осенью 2005 года закон о персональных данных был заключен и в России.

Согласно этому же закону, каждой системе, которая носит информационный характер, необходимо присваивать класс безопасности для обеспечения защиты. А также, информативные системы могут быть типовыми и специальными. Специальные требуют обязательного лицензирования.

Под специальными подразумеваются системы, которые располагают сведениями о здоровье. То есть, если информационные системы могут влиять на жизнь и здоровье субъекта обязаны иметь самую высокую защиту.

Класс защиты информационных систем определяется на основе существующих угроз безопасности в соответствии нормативными документами.

В телефоне по неосторожности может находится самая разная информация:

  • логины и пароли от социальных сетей;
  • пароль от рабочего личного кабинета;
  • банковские данные и пароли от карт и разного рода его услуг, как, например, интернет-банкинг.

Во всех случаях требуется привязка мобильного номера. В телефоне также хранится информация о других людях-родственников и близких людей, контактные данные коллег по работе, а также их должности, ну и так далее. Можно только в кошмарных снах представлять, что может произойти, если эта информации окажется в чужих руках.

И хотя только одни цифры ничего конкретного не представляют, стоит лишь добавить некоторые персональные сведения, так ситуация в корне поменяется. Тем более на данный момент есть достаточное количество пиратских платформ, которые предоставляют по номеру телефона инициалы его владельца. Поэтому стоит все-таки осторожнее относится к своим данным.

Можно ли номер телефона отнести к сведениям о человеке?

  • Номер абонента — это лишь сочетание цифр, заранее определенный оператором для предоставления услуг сотовой связи при заключении договора.
  • Этот цифровой код помогает выделить и определить устройство сотового телефона в диапазоне сотовой сети для связи с абонентом.
  • Поэтому лишь цифровой код не будет достаточной информацией для идентификации человека как личности и его персонализации.

Никто не предоставит информацию о человеке без веских на то причин: ни государственные органы, ни операторы сотовой связи.

Для того чтобы получить информацию о владельце должны быть веские на то причины.

К примеру, если с контактного номера был произведен ложный вызов об организованном теракте в ТЦ, либо наоборот, организация теракта. Только лишь среди недобросовестных пользователей интернеты можно получить информацию о пользователе. И то, не факт, что она будет актуальной.

То есть, формально наличие цифрового кода, не означает владение персональными данными о субъекте.

Стоит поделить цифровой код и цифровой код с имеющимися знаниями о владельце. При наличии помимо телефонного номера сведения о владельце, таких как, фамилия, имя и отчество будет считаться как хранение и использование контактов как обработка его персональных данных.

В постановлении закона о связи также говорится о том, что СМС рассылки и звонки, в виде предлагаемых услуг акций и скидок может активирована только при согласованности пользователя.

Если же рассылаемая рекламная информация в СМС или при звонке не указывается ваши персональные данные, то владельцу нельзя расценивать данное действие как сбор персональных данных.

Сбором персональных данных нельзя считать, если во время разговора или переписки по СМС в рекламных целях, или при проведении массового опроса населения указывается данные такие, как: фамилия, имя, отчество; дата рождения и место прописки. Если сохранена анонимность и конфиденциальность при проведении данных, процедур-то это действие нельзя назвать сбором данных о субъекте.

Прежде чем начинать СМС-рассылку, компания должны изучить три ключевые статьи закона: “О рекламе”, “О связи”, “О персональных данных”. Есть ряд ограничений на использование личной информации во время рекламных компаний по СМС-рассылке или во время телефонных звонков.

Наличие базы контактов и также их эмэйлы разрешается только при получении согласия клиента.

Личность, о которой собиралась персональные данные, в любой момент имеет права отозвать соглашения по СМС-рассылкам и звонкам с предложениями предоставления услуг, и по этому требованию компания обязана удалить все данные о субъекте.

Консультация относительно вопросов, которые могут возникнуть при входящих СМС-рассылок и входящих звонков предоставления рекламных услуг занимается служба ФАС, Федеральная Антимонопольная Служба.

При заключении договора о предоставлении рекламных сообщений должны быть соблюдены следующие требования:

  • фамилия, имя и отчество абонента получателя рассылки;
  • обозначенный в письменном виде номер абонента;
  • факт подтверждения в виде сообщения с одноразовым кодом;
  • необходимо указать полное ФИО, котором было разрешено на сбор и обработку персональных данных;
  • в договоре обязаны указать срок его начала действия и окончания;
  • подтверждающие данные о согласии абонента.

В заключение

Сам по себе номер, просто набор цифр, по которому невозможно определить пользователя и собрать на него персональные данные, лишь по цифровому коду. Значит, сам номер, его цифровой код не является персональными данными о субъекте.

Источник: https://xn--b1adcnh0br.xn--p1ai/yavlyaetsya-li-nomer-mobilnogo-telefona-personalnyimi-dannyimi.html

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Читайте также:  Как установить программу на iphone

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

  • 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  • 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

  1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  4. 4) являющихся общедоступными персональными данными;
  5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

  • Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
  • — стандарты и рекомендации в области стандартизации Банка России;
  • — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
  • — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Источник: https://pravo163.ru/otvety-roskomnadzora-na-voprosy-o-personalnyx-dannyx/

Ссылка на основную публикацию