Номер телефона персональные данные

>Подробно о том, является ли номер телефона персональными данными

Сведения из закона

Согласно Федеральному закону № 152-ФЗ “О персональных данных” от 27.06.2006 г. (далее упоминается как Закон), лица, указанные в статье 7:

“Третьи лица или органы получившие доступ к персональным сведениям, обязаны соблюдать конфиденциальность во время их обработки. Запрещается распространение и использование в личных целях любых персональных данных без личного согласия на то субъекта персональной информации”.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к конкретному или определяемому на основе предоставленной информации физическому лицу. Сюда относят:

  1. ФИО субъекта;
  2. год;
  3. месторасположение;
  4. месяц и день рождения человека;
  5. адрес проживания;
  6. сведения о членах семьи;
  7. социальном и финансовом положении;
  8. образовании;
  9. данные о сфере деятельности;
  10. другая информация.

Подробнее о том, какая информация относится к ПД, читайте , а в этом материале приведены примеры персональных данных.

Что это такое — личная информация на мобильном?

В телефоне могут хранится ваши личные данные:

  • логины и пароли от социальных сетей;
  • рабочих профилей;
  • автозаполнение полей при входе в личный онлайн кабинет банка.

Ко всем примерам требуется привязка номера телефона. В телефоне также хранятся контакты других абонентов:

  1. друзей;
  2. родственников;
  3. рабочие номера;
  4. и так далее.

И хотя по одним только цифрам идентифицировать личность кажется невозможным, стоит добавить другие сведения и ситуация меняется.

Важно! Не стоит забывать, что номер может быть привязан за определенным физическим лицом по договору с оператором связи.

Относится ли сотовый к сведениям о гражданине или нет?

Абонентский номер (номер телефона) ㅡ это сочетание цифровых знаков, который определяется клиенту мобильной связи во время заключения с ним договора о предоставлении услуг сотовой связи. Набор цифрового кода обеспечивает возможность выделить и идентифицировать устройство в сети связи для соединения с абонентом.

Таким образом код состоящий из цифр не может быть достаточной информацией, чтобы иметь возможность обозначить и идентифицировать абонента (субъекта персональных данных). Использование номера не может быть расценено как обработка ПД его конечного пользователя.

Стоит разделять просто номер телефона и номер телефона в дополнении с другими сведениями владельца. В сочетании с фамилией, именем и отчеством, по которым можно определить пользователя, ситуация несколько меняется. Хранение и использование контактов с ФИО абонента будет считаться как обработка ПД человека.

Правомерно ли использовать для рассылки?

В Законе №126-ФЗ “О связи” от 7 июля 2003 года, в статье 44.1 (изменения которого вступили в силу 21 октября 2014 года), говорится, что на номер, по которому можно определить личность пользователя при наличии доп. сведений, требуется согласие на обработку и рассылку рекламной информации.

Осуществление операций с мобильными номерами в рекламных целях или во время опроса жителей является безличным набором цифр и не может быть определителем субъекта ПД, если осуществляется без указания:

  • фамилии;
  • имени;
  • отчества;
  • (ФИО) даты рождения и адреса проживания владельца.

Так как, сохраняется полная анонимность при проведении данной процедуры ㅡ это не считается обработкой личной информации конкретного субъекта ПД.

Бизнес по СМС-рассылкам основывается на трех главных законах:

  1. “О рекламе”.
  2. “О связи”.
  3. “О персональных данных”.

По Закону есть дополнительные ограничения на использование личной информации во время продвижения услуг и товаров посредством телефонных звонков и СМС-рассылок. Наличие базы контактов и адресов почты разрешается с согласия клиентов.

Субъект ПД может в любой момент отозвать соглашение, и оператор по обработке контактов должен удалить все данные. Вопросы возникающие касательно входящих звонков/сообщений рекламного характера (предоставления услуг), входит в полномочия органа Федеральной Антимонопольной Службы (ФАС).

Справка. Для проведения рассылок СМС-сообщений в рекламых целях абонентам при помощи средств связи обязательно наличие согласия субъекта.

Список требований на согласие о получении СМС-сообщений:

  • Форма согласия в письменном или устном виде.
  • Указанные ФИО человека, который будет получать рассылку.
  • Прописанный номер телефона абонента для рассылки.
  • Подтверждающий фактор (например сообщение с одноразовым кодом безопасности).
  • Указанные ФИО/наименование человека, которому выдается разрешение на обработку данных и рассылку рекламных сообщений.
  • Четко прописанные даты начала и окончания действия договора о согласии.
  • Наличие данных для подтверждения согласия абонента.

Сам по себе телефонный номер ㅡ это комбинация цифр, при наличии которого невозможно определить пользователя. Значит, просто номер не является ПД человека.

Обращения в сфере персональных данных

Обращения в сфере персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 вышеуказанной статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.pd.rkn.gov.ru и на сайте http://15.rkn.gov.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: После удаления своего аккаунта из социальной сети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в социальной сети о лице, давно удалившемся из нее?

Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 Федерального закона «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.

Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 1 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);

3) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

9) осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Вопрос: Является ли обработкой персональных данных поступление СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Вопросы, связанные с поступлением сообщений (звонков) рекламного характера (предоставления услуг), входят в компетенцию органа, осуществляющего государственный контроль по вопросам распространения рекламы в сетях электросвязи, Федеральной антимонопольной службы (ФАС). Для прекращения дальнейшего использования номера телефона в рекламных целях (в частности, распространения рекламы в сетях электросвязи), целесообразно обратиться в ФАС.

Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору, должна администрация предприятия, на котором работает субъект персональных данных.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Время публикации: 24.07.2014 10:37
Последнее изменение: 24.07.2014 12:40

Является ли номер телефона персональными данными

Сегодня мы поговорим о том, является ли номер телефона персональными данными, и есть ли у кого-то право распространять ваш номер без вашего ведома.

Закон о персональных данных Российской Федерации говорит о том, что все, кто получает личную информацию, не имеют никакого права распространять ее, выкладывать в общий доступ и тому подобное без согласия того, кому эта информация принадлежит. Касается ли это телефонных номеров? Нет. То есть, не совсем. Номер телефона персональными данными по сути не является, и в законе нет четкого подтверждения обратного. Но это не значит, что если законом прямо не запрещено, то телефонные номера можно свободно распространять.

С одной стороны, номер телефона – просто набор цифр, который сам по себе не поможет кому-либо вычислить вас. Однако, если к этому набору добавить вашу фамилию и имя, то ситуация примет весьма неожиданный оборот. Более того, если это конкретно ваш номер, зарегистрированный на ваше имя у мобильного оператора, то идентифицировать вас по нему не составит никакого труда.

В статье 3 того же закона написано, что персональными данными является вся информация, которая относится лично к вам, то есть физическому лицу. Это прежде всего ваши Ф.И.О., дата рождения, адрес, образование, семейное положение и все прочее. По сути, кажется логичным, что номер телефона также входит в список вашей личной информации.

Но с другой стороны эта же статья описывает «обезличивание» личной информации. То бишь определенные действия, которые влияют на возможность идентифицировать личность по полученным данным. Вот сюда номер телефона точно подходит, так как по одному набору цифр, без информации о его владельце, невозможно вычислить человека, а значит это обезличенные данные и персональными они уже никак не могут являться.

Другое дело, когда номер привязан к вашей фамилии и имени, и эта информация при нем указана. Тогда это уже действительно конфиденциальные данные и распространять их без вашего согласия никто не имеет права.

Также в дополнениях к этому закону указано, что если по номеру можно вычислить имя и фамилию его владельца, то на распространение номера обязательно получить согласие. Эта поправка может пригодится в случае навязчивой смс-рассылки рекламы на ваш номер телефона.

Добрый день.

Я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Является ли номер телефона персональными данными или нет?

Поделиться:

Сегодня у каждого в кармане имеется сотовый телефон и не особо придавая этому значение можем обмениваться контактными номерами.

Поэтому назревает вопрос: входит ли контактный номер в персональные данные? Имеют ли право частное лицо или поставщик разных услуг использовать ваши данные по личному усмотрению, отправляя навязчивую рекламу в текстовых сообщениях или звоня предлагать какие-либо услуги?

Такие ситуации могут происходить каждый день. Поэтому стоит взглянуть, что говорит Федеральный закон на этот счет.

Что говорит закон о персональных данных?

Федеральный закон встает на защиту граждан. В пункте закона о персональных данных есть четкие указания в отношении распространения конфиденциальной информации о человеке. В нем сказано, что третьи лица (частные компании или органы, получившие доступ к персональным данным), не имеют права распространять полученную информацию без личного согласия.

Теперь надо выяснить, что относится к персональным данным о конкретной личности. К ним относится любые сведения, которые как-либо идентифицирует человека как личность. К этим сведениям относятся:

  • инициалы человека;
  • дата рождения, а также месторождения;
  • сведения о его или ее семье;
  • общее социальное положение личности;
  • место работы, а также занимаемая должность.

Для чего было необходимо принять этот закон?

Поводом для принятия этого закона послужила необходимость устранить барьеры между Евросоюзом в международной торговле. Сбор и хранение персональных данных необходим для совершения сделок, которая будет проходить скорее всего исключительно между государствами, и обеспечивать их соответствующей защитой. К примеру, в странах Евросоюза данные законы принимались еще в девятнадцатом веке, как пример, между странами Норвегии и Франции. Осенью 2005 года закон о персональных данных был заключен и в России.

Согласно этому же закону, каждой системе, которая носит информационный характер, необходимо присваивать класс безопасности для обеспечения защиты. А также, информативные системы могут быть типовыми и специальными. Специальные требуют обязательного лицензирования. Под специальными подразумеваются системы, которые располагают сведениями о здоровье. То есть, если информационные системы могут влиять на жизнь и здоровье субъекта обязаны иметь самую высокую защиту. Класс защиты информационных систем определяется на основе существующих угроз безопасности в соответствии нормативными документами.

Что относится к личной информации на устройстве мобильного телефона?

В телефоне по неосторожности может находится самая разная информация:

  • логины и пароли от социальных сетей;
  • пароль от рабочего личного кабинета;
  • банковские данные и пароли от карт и разного рода его услуг, как, например, интернет-банкинг.

Во всех случаях требуется привязка мобильного номера. В телефоне также хранится информация о других людях-родственников и близких людей, контактные данные коллег по работе, а также их должности, ну и так далее. Можно только в кошмарных снах представлять, что может произойти, если эта информации окажется в чужих руках.

И хотя только одни цифры ничего конкретного не представляют, стоит лишь добавить некоторые персональные сведения, так ситуация в корне поменяется. Тем более на данный момент есть достаточное количество пиратских платформ, которые предоставляют по номеру телефона инициалы его владельца. Поэтому стоит все-таки осторожнее относится к своим данным.

Можно ли номер телефона отнести к сведениям о человеке?

Номер абонента — это лишь сочетание цифр, заранее определенный оператором для предоставления услуг сотовой связи при заключении договора. Этот цифровой код помогает выделить и определить устройство сотового телефона в диапазоне сотовой сети для связи с абонентом. Поэтому лишь цифровой код не будет достаточной информацией для идентификации человека как личности и его персонализации.

Никто не предоставит информацию о человеке без веских на то причин: ни государственные органы, ни операторы сотовой связи. Для того чтобы получить информацию о владельце должны быть веские на то причины. К примеру, если с контактного номера был произведен ложный вызов об организованном теракте в ТЦ, либо наоборот, организация теракта. Только лишь среди недобросовестных пользователей интернеты можно получить информацию о пользователе. И то, не факт, что она будет актуальной. То есть, формально наличие цифрового кода, не означает владение персональными данными о субъекте.

Навязчивая реклама и СМС рассылка

В постановлении закона о связи также говорится о том, что СМС рассылки и звонки, в виде предлагаемых услуг акций и скидок может активирована только при согласованности пользователя. Если же рассылаемая рекламная информация в СМС или при звонке не указывается ваши персональные данные, то владельцу нельзя расценивать данное действие как сбор персональных данных. Сбором персональных данных нельзя считать, если во время разговора или переписки по СМС в рекламных целях, или при проведении массового опроса населения указывается данные такие, как: фамилия, имя, отчество; дата рождения и место прописки. Если сохранена анонимность и конфиденциальность при проведении данных, процедур-то это действие нельзя назвать сбором данных о субъекте.

Прежде чем начинать СМС-рассылку, компания должны изучить три ключевые статьи закона: “О рекламе”, “О связи”, “О персональных данных”. Есть ряд ограничений на использование личной информации во время рекламных компаний по СМС-рассылке или во время телефонных звонков. Наличие базы контактов и также их эмэйлы разрешается только при получении согласия клиента. Личность, о которой собиралась персональные данные, в любой момент имеет права отозвать соглашения по СМС-рассылкам и звонкам с предложениями предоставления услуг, и по этому требованию компания обязана удалить все данные о субъекте.

Консультация относительно вопросов, которые могут возникнуть при входящих СМС-рассылок и входящих звонков предоставления рекламных услуг занимается служба ФАС, Федеральная Антимонопольная Служба.

При заключении договора о предоставлении рекламных сообщений должны быть соблюдены следующие требования:

  • фамилия, имя и отчество абонента получателя рассылки;
  • обозначенный в письменном виде номер абонента;
  • факт подтверждения в виде сообщения с одноразовым кодом;
  • необходимо указать полное ФИО, котором было разрешено на сбор и обработку персональных данных;
  • в договоре обязаны указать срок его начала действия и окончания;
  • подтверждающие данные о согласии абонента.

В заключение

Сам по себе номер, просто набор цифр, по которому невозможно определить пользователя и собрать на него персональные данные, лишь по цифровому коду. Значит, сам номер, его цифровой код не является персональными данными о субъекте.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *