Является ли СНИЛС персональными данными

идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • Номер и серия паспорта.
  • Страховой номер индивидуального лицевого счета (СНИЛС).
  • Идентификационный номер налогоплательщика (ИНН).
  • Биометрические данные.
  • Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

  • Фамилия, имя, отчество, дата рождения, место прописки.
  • Фамилия, имя, отчество, дата рождения, должность.
  • Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Содержание

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • Операционная система.
  • Часовой пояс и время браузера в 24-часовом формате.
  • Язык браузера.
  • Глубина цвета и разрешение экрана.
  • Поддерживает ли браузер и/или включен JavaScript.
  • Версия JavaScript, поддерживаемая браузером.
  • Тип соединения, используемый для передачи данных.
  • Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

Разъяснения законодательства в сфере защиты прав субъектов персональных данных

Вопрос: Что относится к персональным данным?

Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Вопрос: Какие действия являются обработкой персональных данных?

Ответ: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Вопрос: Кто является оператором персональных данных?

Ответ: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети Интернет фотографии без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.

Вопрос: Является ли нарушением законодательства размещение в холле жилого дома списка должников по коммунальным услугам, в котором указаны номер квартиры и сумма долга, без указания ФИО?

Ответ: По смыслу положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» номер квартиры и сумма долга не позволяют прямо или косвенно определить конкретное физическое лицо (субъекта персональных данных). Учитывая изложенное, размещение сведений о номере квартиры и сумме долга не является нарушением законодательства в области персональных данных.

Время публикации: 13.12.2016 14:31
Последнее изменение: 23.05.2019 11:01

Постановление Восьмого арбитражного апелляционного суда от 1 декабря 2011 г. N 08АП-8214/11 (ключевые темы: административные правонарушения — положение о лицензировании — платные медицинские услуги — медицинские карты амбулаторного больного — медицинские учреждения)
Однако, в соответствии с положениями пунктом 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в том числе и информация о месте работы, должности, номере СНИЛС и др.) составляет персональные данные физического лица.
Согласно пункту 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных, за исключением случаев, установленных законом.
Таким образом, отсутствие в карте амбулаторного больного по форме N 025/у-04 пациентки Калининой Т.Г. сведений о месте ее жительства, месте работы, должности, льготах, номере СНИЛС, не свидетельствуют о том, что названная карта была заполнена с нарушениями, способными оказать влияние на информативность амбулаторной карты.
Более того, сообщение сведений о месте жительства, месте работы, должности, льготах, номере СНИЛС является именно правом, а не обязанность пациента, следовательно, ЗАО «МЦСМ «Евромед» не вправе было требовать предоставления указанных сведений в принудительном порядке, равно как и отказать пациентке Калининой Т.Г. в оказании медицинской помощи и заключении договора оказания медицинских услуг.
Постановление Пятнадцатого арбитражного апелляционного суда от 10 сентября 2012 г. N 15АП-9386/12 (ключевые темы: благотворительный фонд — индивидуальный (персонифицированный) учет — страховые взносы — снилс — персональные данные)
Не согласившись с принятым судебным актом, Белоглинский районный общественный благотворительный фонд «Наш Дом» обратился в Пятнадцатый арбитражный апелляционный суд с апелляционной жалобой, в которой просит отменить решение, указав на то, что на работодателя законом не возложена обязанность использовать СНИЛС. Кроме того, работодатель передал Управлению ПФР в Белоглинском районе все необходимые для осуществления персонифицированного учета сведения работника. Передачу персональных данных без страхового номера при учете запрета субъекта персональных данных использовать СНИЛС суд неправомерно признал неполными.
Пятнадцатый арбитражный апелляционный суд рассматривает апелляционную жалобу в порядке, предусмотренном главой 34 Арбитражного процессуального кодекса Российской Федерации.
От Управления ПФР в Белоглинском районе в суд поступило ходатайство о рассмотрении дела в отсутствие представителя общества.
Ходатайство рассмотрено судебной коллегией и удовлетворено. У материалам дела приобщен отзыв.
В судебном заседании представитель Белоглинского районного общественного благотворительного фонда «Наш Дом» поддержал доводы апелляционной жалобы в полном объеме, дополнительно пояснив, что использование данных о присвоенном страховом номере Никитиной А.И. запрещено по религиозным убеждениям.
Изучив материалы дела, оценив доводы апелляционной жалобы, суд апелляционной инстанции не находит оснований для отмены решения суда.
Как следует из материалов дела Белоглинским районным общественным благотворительным фондом «Наш Дом» были представлены неполные сведения (отсутствовал обязательный реквизит — страховой номер индивидуального лицевого счета) за 2 квартал 2011 года в отношении застрахованного лица — Никитиной Антонины Ивановны. Производить корректировку представленных сведений фонд отказался, направив в адрес УПФР в Белоглинском районе объяснение от 08.08.20122 г.
30.08.2011 г. по факту нарушения законодательства об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования составлен акт N 202, который был направлен БРОБФ «Наш Дом» 31.08.2011 г. В установленный законом срок фонд направил возражение, которым обосновывает правомерность своих действий.
В возражении директор БРОБФ «Наш Дом» пояснил, что работником Никитиной А.И. 20.08.2011 написано заявление, в котором она просит не использовать ее персональные данные. На основании приказа N 11 от 20.08.2011 БРОБФ «Наш Дом» СНИЛС в отчетных документах не указывается.
Извещенный надлежащим образом БРОБФ «Наш Дом» присутствовал при рассмотрении Акта. Комиссия по рассмотрению вопросов реализации пенсионных прав граждан УПФР в Белоглинском районе, рассмотрев представленные документы, приняла решение об отказе в удовлетворении возражения-уведомления БРОБФ «Наш Дом».
29.09.2011 начальником Управления ПФР вынесено решение N 181 о привлечении ответчика к ответственности за нарушение законодательства об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования, которое было направлено фонду 03.10.2011 г.
26.10.2011 в адрес БРОБФ «Наш Дом» было направлено требование N 156 от 26.10.2011 об уплате в добровольном порядке финансовой санкции в размере 10 % от начисленных страховых взносов за 2 квартал 2011 года со сроком уплаты до 14 ноября 2011 г. До настоящего времени финансовые санкции не уплачены.
Согласно пункту 2 статьи 14 Федерального закона от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», страхователи обязаны представлять в территориальные органы страховщика документы, необходимые для ведения индивидуального (персонифицированного) учета, а также для назначения (перерасчета) и выплаты обязательного страхового обеспечения.
Статьей 8 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»(далее — Федеральный закон N 27-ФЗ) установлено, что страхователь представляет в соответствующий орган Пенсионного фонда Российской Федерации сведения о всех лицах, работающих у него по трудовому договору, а также заключивших договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством Российской Федерации начисляются страховые взносы, за которых он уплачивает страховые взносы.
В соответствии со статьей 11 Федерального закона N 27-ФЗ страхователь ежеквартально не позднее 15-го числа второго календарного месяца, следующего за отчетным периодом, представляет в органы ПФР по месту его регистрации о каждом работающем у него застрахованном лице (включая лиц, которые заключили договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством Российской Федерации о страховых взносах начисляются страховые взносы) сведения перечисленные в подпунктах 1-10 пункта 2 названной статьи, в том числе страховой номер индивидуального лицевого счета.
За непредставление указанных сведений в установленные сроки либо представление неполных и (или) недостоверных сведений к страхователям в соответствии со статьей 17 Закона N 27-ФЗ применяются финансовые санкции в виде взыскания 10 про центов причитающихся за отчетный год платежей в Пенсионный фонд Российской Федерации. Взыскание указанной суммы производится органами Пенсионного фонда Российской Федерации в судебном порядке.
К правонарушениям, предусмотренным ч. 3 ст. 17 Закона N 27-ФЗ в части представления неполных и (или) недостоверных сведений, могут быть отнесены ошибки в реквизитах форм персонифицированного учета, идентифицирующих само застрахованное лицо (Ф.И.О., страховой номер) а также отсутствие одного из реквизитов, его стаж (дату приема на работу, дату увольнения, периоды деятельности, включаемые в стаж на соответствующих видах работ, определяемый особыми условиями труда, работой в районах Крайнего Севера и приравненных к ним местностях), а также искажение сведений о суммах начисленных взносов (в том числе и вследствие занижения, неправильного определения базы по страховых взносам) (п. 2 ст. 11 Закона N 27-ФЗ).
В пункте 16 Информационного письма Президиума Высшего Арбитражного Суда Российской Федерации от 11.08.2004 N 79 «Обзор практики разрешения споров, связанных с применением законодательства об обязательном пенсионном страховании» разъяснено, что размер штрафа, подлежащего взысканию за представление неполных сведений, необходимых для осуществления индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования, следует определять от суммы платежей только в отношении тех застрахованных лиц, о которых представлены неполные сведения.
БРОБФ «Наш Дом» не отрицает факт не представления в УПФР в Белоглинском районе страховой номер индивидуального лицевого счета Никитиной Антонины Ивановны.
В доводах апелляционной жалобы фонд неправильно толкует нормы законодательства, указывая на то, что обязанность использовать единый универсальный идентификационный знак — страховой номер возложена законодателем только на страховщиков. Страхователи же не обязаны вести учет застрахованных лиц на основании единых универсальных идентификационных знаков.
Суд апелляционной инстанции отклоняет доводы жалобы по следующим основаниям.
Действующим законодательством не предусмотрены, какие либо льготы или исключения для отдельных категорий граждан. Порядок индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования определен соответствующими правовыми актами, которые не отменены, не изменены, не признаны незаконными, а потому подлежат применению без каких-либо исключений, что соответствует ст. 19 Конституции РФ, которая гласит, что все равны перед законом и судом.
Целями ведения индивидуального (персонифицированного) учета являются в частности создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица и обеспечение достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении. Для решения указанных целей на каждое застрахованное лицо ПФ РФ открывается индивидуальный лицевой счет с постоянным страховым номером, содержащим контрольные разряды, которые позволяют выявить ошибки, допущенные при использовании этого страхового номера в процессе учета.
Решение Верховного Суда РФ от 12 октября 2011 г. N ГКПИ11-1586
Согласно Федеральному закону от 1 апреля 1996 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» все граждане Российской Федерации должны быть зарегистрированы в системе персонифицированного учета Пенсионного фонда Российской Федерации и иметь страховое свидетельство обязательного пенсионного страхования. Страховое свидетельство содержит в том числе и страховой номер индивидуального лицевого счета (СНИЛС).
Строка «СНИЛС» бланка листка нетрудоспособности заполняется работодателем и никоим образом не влияет на качество предоставляемых гражданам медицинских услуг.
Территориальными органами Фонда социального страхования Российской Федерации СНИЛС используется исключительно в целях идентификации застрахованного лица и в рамках предоставления государственной услуги, что соответствует пункту 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
» Не стоит тратить время на то, чтоб разбираться: любишь ты человека или нет. Поступай так, как если б ты был уверен, что ты его любишь» (с)

В последнее время на слуху словосочетание «персональные данные»: в РФ ввели ряд законов, способствующих защите информации, и люди стали размышлять, как это отразится на их жизни. Ведомости персонального характера присущи каждому человеку, а их конфиденциальность напрямую связана с законным правом гражданина на частную жизнь и неразглашением личных данных.

Но начать знакомство с информационной сферой необходимо с изучения самого сегмента персональной информации. Хотите знать, конфиденциальность каких ведомостей охраняется законом, а какие данные не принадлежат к ПДн?

Мы подготовили материал, в котором обстоятельно и четко даются ответы на заданные вопросы.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Нюансы в отношении физических лиц

Субъект (носитель) персональных данных (ПДн) обладает рядом характеристик, относящихся к нему.

Каждый гражданин имеет паспорт с серией и номером, свидетельство о рождении, личный телефон, адрес проживания и так далее. В законе Российской Федерации № 152 сказано, что к ПДн относятся такие данные физического лица как:

  • семейное;
  • социальное;
  • материальное положение;
  • информация об образовании;
  • доходах;
  • профессиональном статусе и профессиональных связях;
  • другая идентификационная информация личного характера.

Одним словом, сведения о конкретном человеке, его работе или личной жизни.

Особенности для юридических лиц

Информация, принадлежащая юридическим лицам, распространяется иначе. Любой гражданин имеет возможность получить доступ к ведомостям, которые в случае с физическим лицом, считались бы конфиденциальными. Например, узнать адрес или телефон фирмы. Дело в том, что юридические лица не являются субъектами ПДн, к ним такой термин не применяется. Согласно закону «О персональных данных» №152 правительства РФ, подобные обязательства по конфиденциальности возникают только в отношении физических лиц.

В российском законодательстве нет четкого перечня персональных данных, поскольку такие ведомости должны обладать сразу двумя характеристиками – не только принадлежать субъекту информации (например, физическому лицу) но и позволять идентифицировать его. Второй параметр определяется в каждой ситуации отдельно, в зависимости от оператора, характера данных и их количества.

В юридической практике случаи по разглашению конфиденциальной информации рассматриваются по-разному, и решения принимаются в зависимости от степени обезличивания данных и потенциального или фактического ущерба в адрес субъекта данных.

Это приводит к тому, что одни и те же сведения в разных случаях могут как относиться к ПДн, так и не быть их частью.

Далее рассмотрим, являются ли персональными данными следующие примеры сведений о человеке.

О том, что считается персональными данными физических и юридических лиц, мы более подробно рассказывали тут.

Идентификационный номер налогоплательщика (ИНН) используется налоговыми органами для учета. Государственные службы не нуждаются в согласии субъекта, а сам ИНН не относится к ведомостям персонального характера и не попадает под действие закона «О персональных данных».

Несмотря на то, что граждане, обращаясь за справкой ИНН, предоставляют информацию о себе (ФИО, дату и место рождения, паспорт), сам документ не несет личной информации.

ИНН представляет собой технический цифровой код:

  1. Код налогового органа, выдавшего ИНН.
  2. Номер записи о лице в Едином государственном реестре налогоплательщиков.
  3. Личное контрольное число, рассчитанное по алгоритму ФНС.

Его используют в ФНС, остальным же физическим лицам знание числового кода не позволит узнать о субъекте что-то еще.

Адрес электронной почты

Роскомнадзор сообщает, что некоторые персональные данные становится таковыми только после использования в паре с другими ведомостями личного характера. Адрес электронной почты относится к выше охарактеризованной группе. Емейл (email ) может позволить идентифицировать конкретного человека, если будет указан вместе, например, с фотографией или местом проживания.

В таком случае адрес почты станет ПДн (со всеми правовыми последствиями). Если же в общем доступе размещен только адрес электронной почты, информация считается обезличенной.

Фотография

Относится ли фотография к персональным данным? В ответе на этот вопрос есть свои нюансы. Фото, размещенное без какой-либо дополнительной информации о лице, не является частью персональных данных. Такое объяснение дает надзорный орган – Роскомнадзор.

Как сказано выше, ПДн должны отвечать сразу двум критериям, чтобы в их отношении регулирование осуществлялось на основе профильного закона ФЗ №152. Фотография относится к данным, принадлежащим лицу, но не дает возможности однозначно идентифицировать человека.

Другие механизмы включаются, если речь идет о распространении данных, очерняющих честь и достоинство человека. В этом случае гражданин имеет право обратиться в суд по поводу публикации только одного фотоснимка.

СНИЛС

СНИЛС – это страховой номер индивидуального лицевого счета. В Федеральном законе №27 сказано, что Пенсионный фонд и страхователи должны обеспечить защиту данных, которые входят в индивидуальный лицевой счет. Однако сам номер СНИЛС не позволяет идентифицировать физическое лицо, поэтому в перечень ПДн не входит.

СНИЛС становится общедоступной информации при создании электронной подписи. Квалифицированные центры, а их деятельность регламентируется законом ФЗ №63 «Об электронной подписи», используют номер СНИЛС или ИНН для проведения операций с сертификатами.

Как видите, СНИЛС по аналогии с ИНН не позволяет конкретизировать субъект информации, хотя и является кодом другой информации. Это привело к тому, что на правительственные органы наложили обязательства сохранять конфиденциальность данных, поданных для получения СНИЛС, при этом сам код остается общедоступным.

Дата рождения

Информация о дате рождения принадлежит субъекту информации и входит в группу обезличенных ПДн (не конкретизирующих гражданина, которому они принадлежат). На операторов, работающих с такими данными, не налагаются обязанности по защите. Даже если информация будет разглашена, третьи лица не смогут однозначно идентифицировать субъект.

ФИО и телефон

Имя, фамилия и отчество, опубликованные в паре с телефонным номером человека, являются персональными данными согласно утвержденного ФЗ №152 РФ. Они дают возможность с большой долей вероятности идентифицировать гражданина, что в последствии может обернуться для субъекта непредвиденными последствиями. Оператор ПДн имеет право распространять/передавать и обрабатывать данные, включающие в себя ФИО и телефон физического лица, только получив согласие держателя ведомостей.

О том, относится ли номер телефона к ПД, читайте в этом материале, а считается ли персональными данными ФИО, мы рассказывали тут.

>ФИО и должность

ФИО и должность, обрабатываемые вместе, налагают на оператора обязанности сохранять ведомости в тайне и предотвращать к ним доступ третьим лицам.

Должность

Должность или перечень должностей, обрабатываемые отдельно, считаются обезличенными ПДн. Они принадлежат конкретным физическим лицам, но не позволяют узнать о них больше или конкретизировать.

По другому классифицируются групповые данные, например, должность и фотография, этой информации может быть достаточно на отдельно взятом предприятии, чтобы идентифицировать лицо, чего закон не позволяет.

>Адрес проживания

Сам по себе адрес проживания не даст возможности установить какую-либо дополнительную информацию, поэтому входит в разряд обезличенных ведомостей.

Номер телефона

Несмотря на то, что в России услуги сотовой связи предоставляются по договору абонента и оператора (что дает теоретическую возможность третьему лицу установить, кому принадлежит номер), числовой идентификатор, опубликованный без сопровождающей информации, считается обезличенной ПДн. К нему не предъявляются требования по конфиденциальности.

Относится ли номер телефона к персональным данным узнаете тут.

Понятие ПДн в России, несмотря на наличие отдельного законодательного акта (ФЗ №152), остается расплывчатым. В законе нет четкого перечня и не описаны конкретные ситуации, когда одни и те же данные квалифицируются по-разному. К личным данным относится вся информация о физическом лице, при этом только на ее часть закон налагает ограничения по распространению и обработки (подробнее о том, какая информация считается ПД, читайте здесь).

Главным требованием является возможность идентификации лица, если ПДн дают возможность это сделать, их необходимо отнести к конфиденциальным личным данным. Сама формулировка остается актуальной только для физического лица, юридически зарегистрированные предприятия не являются субъекта ПДн в Российской Федерации.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).»
Статья 3. ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»

«На территории Российской Федерации на каждое застрахованное лицо Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет с постоянным страховым номером . «
Статья 6. ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

Исходя из этих утверждений, СНИЛС является персональными данными и подлежит защите.
В том же 27-ФЗ предъявляются требования к Пенсионному фонду и страхователям обеспечить защиту сведений, входящих в индивидуальный лицевой счет застрахованного лица в соответствии с законодательством о ПДн (Статьи 6 и 17).

Несмотря на вышеописанное, аккредитованные удостоверяющие центры требуют указывать СНИЛС заявителя при подготовке квалифицированной электронной подписи. Причем, СНИЛС используется не только для нужд удостоверяющего центра, он является частью открытого ключа, а значит, доступен широкому кругу лиц.

Пример:

А почему так? — а по законодательству.

«Квалифицированный сертификат должен содержать следующую информацию:
.
страховой номер индивидуального лицевого счета владельца квалифицированного сертификата — для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата — для юридического лица;»
Статья 17 ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи»

«6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный
сертификат должен содержать следующую информацию:
.
— страховой номер индивидуального лицевого счета (далее — СНИЛС) владельца квалифицированного сертификата — для физического лица;»
Приказ ФСБ от 27.12.2011 № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»

Вот и получается, что законодательство делает общедоступными ПДн СНИЛС всех граждан, кто хоть раз получал квалифицированную электронную подпись.

В качестве завершения статьи вопрос, риторический
— если удостоверяющие центры вполне легально публикуют ПДн субъектов ПДн (в частности СНИЛС), надо ли другим операторам ПДн у себя продолжать обеспечивать защиту этих ПДн?

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

  • Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
  • Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
    Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
    С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
  • Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
    При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
  • Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
  • Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
  • Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
  • Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
  • Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

Подписка на новости

Письмо для подтверждения подписки отправлено на указанный вами e-mail.

07 апреля 2017 12:58

В настоящее время СНИЛС, присвоенный в системе обязательного пенсионного страхования, стал универсальным идентификатором персональных данных гражданина в едином информационном пространстве для учета прав граждан во многих отраслях социальной сферы — в обязательном пенсионном и медицинском страховании, в социальной помощи различным категориям граждан, в том числе детям.

Для того чтобы СНИЛС мог выполнять предписанное ему назначение единого идентификатора, в системе персонифицированного учета должны быть зарегистрированы все категории граждан, в том числе и дети.

Для осуществления регистрации новорожденного ребенка, территориальные отделы ЗАГС заполняют Анкету застрахованного лица на основании свидетельства о рождении. Результатом регистрации в системе персонифицированного учета является открытие индивидуального лицевого счета с присвоением уникального номера — СНИЛС.

Для получения СНИЛС на ребенка необходимо одному из родителей обратиться в территориальный орган ПФР по месту жительства, предъявив документ, удостоверяющий личность.

При обращении граждан в органы ПФР для осуществления регистрации в системе обязательного пенсионного страхования необходимо:

— заполнить анкету застрахованного лица и заверить своей подписью;

— предъявить паспорт или иной документ, удостоверяющий личность.

В современных условиях от граждан часто требуется согласие на обработку сведений частного характера, например, при визите к врачу. Во многих случаях подпись на бланке ставится автоматически. Открывая доступ к информации о себе, важно знать и соблюдать правила.

Какие сведения считаются персональными данными

Распространенные персональные данные:

  • Фамилия, имя, отчество физического лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
  • Дата и место рождения.
  • Адрес регистрации и проживания.

Персональные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке). При этом законодательные требования распространяются на ПД вне зависимости от технической реализации инфосистемы. Существуют разные способы обработки личной информации физлица – сбор, классификация, уточнение и др.

Понятие ПДн относится не только к гражданам, но и к юридическим лицам вне зависимости от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их особенностью является то, что на их основе происходит идентификация не конкретного человека, а определенной компании. Официальные сведения о компании нужны при заключении договоров и т. д.

Физические лица

К персональным сведениям для этой категории субъектов относятся:

  • ФИО;
  • дата и место рождения;
  • гражданство;
  • адрес регистрации и проживания;
  • решение о полной или частичной недееспособности;
  • семейное положение + информация о членах семьи;
  • образование;
  • место работы;
  • оклад, страховые и налоговые отчисления;
  • воинская обязанность.

Существуют особенности отнесения разных данных к категории персональных у физических лиц:

  • Номер телефона. Относится к ПДн, если информация о владельце есть в общедоступном источнике (например, на сайте депутата указаны контакты для прямого обращения).
  • Верификационные параметры для авторизации на разных интернет-сервисах являются ПДн по определению и не подлежат разглашению третьим лицам.
  • Фото- и видеозаписи. Относятся к ПДн только в ситуации, когда по ним можно провести идентификацию физического лица. Исключением является фото- или видеосъемка, произведенная на мероприятиях, имеющих массовый характер. Если запись порочит честь, достоинство или деловую репутацию человека, он в соответствии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.

Работники предприятия

К числу персональных сведений в этом случае относится информация, которую сотрудник должен сообщить при устройстве на работу. В основной части они совпадают с ПДн для физлица и предназначены для занесения в личное дело работника. По причине того, что сотрудник заполняет типовой бланк, в ИС могут попадать сведения, не связанные с выполнением им своей работы.

Дополнительно к личной информации физлиц персональное досье работника предприятия в обязательном порядке включает:

  • должность;
  • ИНН;
  • заявление о приеме на работу;
  • оклад;
  • СНИЛС;
  • трудовой стаж (+ на этом предприятии);
  • справки о поощрениях и взысканиях со стороны администрации;
  • информацию об использованном отпуске;
  • медсправки и/или документы о диспансеризации (если это требуется условиями работы).

Работодатель не имеет права (и это прописано в законах):

  1. Передавать третьим лицам личные данные без согласия самого работника (защита данных).
  2. Запрашивать сведения о состоянии здоровья сотрудника без согласия. Исключением являются ситуации, когда это непосредственно связано с выполнением работником своих функций.

Обязанностью работодателя является:

  • Защитить имеющиеся в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только специально уполномоченных сотрудников, предоставляя им данные в пределах их компетенции.
  • Предупреждение третьих лиц, которым передается информация о работнике, что она может быть использована только для конкретных затребованных целей. Законодательством наложен запрет на несанкционированное распространение личных данных и виновные могут быть привлечены к ответственности.
  • Закрепить соответствующим образом (например, подписью в специальном бланке) обязательство соблюдения конфиденциальности лицами, которым передаются ПД.

Государственные или муниципальные служащие

Помимо массива сведений, обязательного для работника предприятия, в число ПДн для этой категории тружеников входит:

  • стаж + выслуга лет;
  • должность;
  • классный чин (если есть);
  • разряд по тарифной сетке;
  • ученая степень, награды, поощрения;
  • допуск для работы с секретными материалами;
  • справки об аттестации и повышении квалификации;
  • справка о судимости;
  • медсправки, копии больничных.

Юридические лица

К этой категории сведений относятся:

  • наименование организации;
  • юридический и фактический адрес;
  • номера лицензий;
  • ОГРН;
  • ИНН;
  • КПП;
  • номер расчетного счета и другие банковские реквизиты.

Нормативно-правовая база

Основные юридические документы, устанавливающие принципы использования ПДн:

  • Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
  • Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.

Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:

  • Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
  • Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.

На кого распространяются требования ФЗ 152

Доступ к ПДн конкретного лица разрешен специальным операторам. Это представители структур или организаций, которые производят получение и обработку ПД конкретного физического лица. При отсутствии разрешения субъекта любые операции с его ПДн являются нарушением закона. Личная информация о человеке обязательно должна быть ликвидирована после того, как отпала необходимость в ее использовании.

Законодательство не определяет срок действия согласия на обработку ПДн, поэтому он может быть указан непосредственно в бланке, который подписывает субъект. Такой период может определяться прямо или косвенно – например, «на 3 года» или «на время, указанное в трудовом договоре». Подписывая такие бумаги, проверяйте сроки и следите за тем, чтобы они были написаны реально.

Ответственность за использование персональных данных без согласия

Для нарушителей есть список штрафных санкций. Сюда относятся случаи:

  • Обработки ПД в ситуациях, не предусмотренных законом. Это нарушение влечет за собой предупреждение или штраф: для граждан – 1000–3000, для должностных лиц – 5000–10 000, для юрлиц – 30 000–50 000 рублей.
  • Обработки личных данных без письменного согласия субъекта. За это предусмотрены штрафные санкции: для граждан – 3000–5000, для должностных лиц – 10 000–20 000, для юрлиц – 15 000–75 000 рублей.

Использование ПДн без согласия субъекта может являться составной частью проступка, влекущего наказание по статье 137 Уголовного кодекса РФ. Сюда входят:

  • Незаконное собирание сведений о частной жизни лица, являющихся его личной или семейной тайной. Это подразумевает штраф до 200 000 рублей, обязательные работы до 360 часов либо арест до 4 месяцев и др. Для должностных лиц возможна дисквалификация на срок до 3 лет.
  • Действия по сбору разной информации о человеке, которое совершено с использованием служебного положения. Влечет штраф до 300 000 рублей, принудительные работы на срок до 4 лет либо арест до 6 месяцев и др. В большинстве случаев после наложения этой санкции гражданин лишается права занимать определенные должности на срок до 5 лет.

Категории ПД

Закон № 152-ФЗ делит информацию по информативности, сложности использования и уровню раскрытия сведений. Категории персональных данных, которые нельзя использовать без согласия: обезличенные, общие и специальные, биометрические данные.

Общие личные данные о человеке

К ним относится базовые инфоматериалы о конкретном физическом лице:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес регистрации и проживания;
  • номер телефона;
  • ИНН;
  • паспортные данные – серия, дата его выдачи и др.;
  • СНИЛС;
  • место работы;
  • размер заработной платы.

Персональные сведения, отнесенные к общему типу, зафиксированы в базовых документах гражданина (это паспорт, трудовая книжка и др.). Во многих случаях для их обработки хватает и косвенного разрешения. Такие упрощенные случаи характерны для заполнения онлайн-анкет с минимумом сведений, когда от субъекта хватит галочки в соответствующем поле вместо письменного подтверждения. Тут передача данных происходит по открытым каналам связи.

Некоторые из этих сведений не являются персональными, если используются автономно от других. Текущая позиция Роскомнадзора заключается в том, что только по одному телефонному номеру (без соотнесения его с фамилией владельца) возможность идентификации физического лица отсутствует. По этой причине неперсонифицированная SMS-рассылка не является нарушением законодательства.

Биометрические

Сюда относятся физиологические и биологические параметры физического лица:

  • дактилоскопия (отпечатки);
  • группа крови;
  • рост;
  • вес;
  • цвет глаз;
  • особые приметы, связанные с внешностью (например, приобретенные увечья).

К этой же категории относятся любые аудиовизуальные файлы – фотографии конкретного физического лица, записи с диктофона, видеорегистратора и др. Развитие технологий находит широкое применение биометрическим параметрам – они используются в медицине, приеме на работу в госструктуры, оформлении загранпаспортов. Часто такие данные наносят вред субъекту в профессиональной деятельности или личной жизни.

Специальные данные

В эту категорию включены:

  • национальность;
  • политические предпочтения;
  • вероисповедание;
  • наличие судимости;
  • медицинский диагноз;
  • сексуальная ориентация;
  • интимная жизнь.

Подобные сведения содержатся в специальных документах. Они могут быть использованы для дискриминации конкретного физического лица. По этой причине, согласно статье 10 Закона № 152-ФЗ, доступ к сведениям этого типа для общих случаев не допускается. Исключениями из этого являются ситуации, когда:

  • Субъект дал письменное согласие на обработку ПД.
  • Досье конкретного человека изучается для сохранения жизни/здоровья этого человека или третьих лиц, когда получение разрешения нельзя (например, пострадавший в автокатастрофе находится в коме и срочно требуется операция). Этот случай может быть распространен на все ситуации постановки диагноза и оказания услуг медицинского характера, при условии, что это осуществляется уполномоченным работником и он сохраняет профессиональную тайну.
  • Эти ПДн стали публичными по инициативе лица, которому они принадлежат (например, эстрадный исполнитель дает интервью телеканалу о своей сексуальной ориентации). Сюда же относится обработка сведений в связи с осуществлением Всероссийской переписи населения или реализацией программ социальной помощи, трудового или пенсионного законодательства.
  • Производится обработка персональных данных об участниках общественного объединения или религиозной организации (например, эту личную информацию могут собирать в муниципалитете или органах государственной статистики). Определяющим тут является условие нераспространение таких сведений без письменного согласия субъектов ПД.
  • Извлечение необходимой личной информации связано с осуществлением конституционных прав этого физического лица или производством правосудия (по закону, это разрешено, например, сотрудникам полиции или прокуратуры). Сюда же входят ситуации исполнения законодательства об обороне, противодействию терроризму, транспортной безопасности, антикоррупционной деятельности и пр.
  • Такая ситуация возникает при необходимости реализации законодательных требования об обязательных видах страхования, о гражданстве Российской Федерации и при проверке родителей, берущих на воспитание детей-сирот.

Обезличенные ПД

В соответствии с Законом № 152-ФЗ, сюда относятся сведения, соотнесение которых с конкретным человеком невозможно без уточнений. Это может быть любая из составляющих ПД, лишенная других сведений, например:

  • Фамилия, имя, отчество человека, его число, месяц, год рождения, улица, номер дома и квартиры в совокупности являются персональными данными.
  • Каждое из этих сведений по отдельности (например, только имя, без фамилии и другой информации) не может являться ПД.

Обезличивание является дополнительным методом защиты. К нему часто прибегают государственные органы, уполномоченные на обработку персональных сведений о гражданах, передавая массив информации на стороннее изучение. К примеру:

  1. В результате переписи населения у Федеральной службы государственной статистики (Госкомстата) скапливается большое число анкет, содержащих личные данные. Это могут быть сведения о возрасте, национальности и пр.
  2. Отправляя такие данные в другие ведомства для аналитического изучения по их профилю работы, сотрудники Госкомстата принимают меры для защиты ПД. Для этого личная информация лишается персонификации. Например, в Министерство социальной защиты РФ передается выборка данных о лицах, с указанием их национальности, возраста и образования, но без упоминания имени и фамилии.

Big Data

Сюда относятся сведения, поступающие в интернет от конкретного пользователя или накапливающиеся в его цифровых устройствах:

  • IP-адрес компьютера;
  • история просмотра страниц;
  • данные авторизации на сайтах;
  • никнеймы и аватары форумов или социальных сетей.

Неоднозначность этой категории в юридическом ракурсе рассмотрения связана со следующими особенностями:

  • Эта информация прямо или косвенно может указывать на конкретного человека.
  • Сам обладатель не может полностью контролировать их.
  • При желании они могут быть фальсифицированы (например, один человек может зарегистрироваться в соцсети под именем своего знакомого и оставлять от его лица порочащие сообщения).

С учетом этих обстоятельств, не все сведения из категории Big Data являются ПДн. Если они прямо не указывают на конкретного человека, то, по мнению Роскомнадзора, они не относятся к категории ПД. Тогда на них не распространяются требования Закона № 152-ФЗ. Примеры таких сведений:

  • Фото человека. Если оно сопровождается именем и фамилией, то является персональными данными, ведь указывает на конкретную личность.
  • Аватар (юзерпик) и никнейм на форуме. Эти позиции не являются ПДн. Они напрямую не указывают на определенного человека. Есть исключение: когда на картинке представлено фото человека с именем, фамилией или другими сведениями.
  • К категории ПД не относятся поисковые запросы пользователя компьютера и информация о его местоположении, которые обрабатываются для предоставления ему контекстной рекламы и геотаргетинга (выдачи данных в зависимости от географического расположения физического лица).

Хранение ПДн и механизм защиты

В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:

  • Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
  • Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
  • Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.

Кто имеет право запрашивать

В соответствии с законодательством, обработка ПД должна иметь легальные цели. Возможны два варианта получения ПД субъекта:

  • Без обязательного письменного согласия. Допускается в случае, если сбор ПД является выполнением требований законодательства. Например, работодатель вправе свободно получать информацию об адресе регистрации и образовании сотрудника. Отдельным случаем являются исключительные ситуации, рассмотренные в статье 10 Закона №152-ФЗ (перечень приведен выше), обходящиеся без согласия субъекта.
  • При наличии письменного разрешения. Представителям отдельных организаций разрешается доступ к той информации, которая требуется для выполнения их задач. Например, при оформлении займа, банк вправе задать вопрос о зарплате клиента, но интерес к ней со стороны лечащего врача будет противозаконным.

Видео

Нашли в тексте ошибку? Выделите её, нажмите Ctrl + Enter и мы всё исправим!

«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).»
Статья 3. ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»

«На территории Российской Федерации на каждое застрахованное лицо Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет с постоянным страховым номером . «
Статья 6. ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

Исходя из этих утверждений, СНИЛС является персональными данными и подлежит защите.
В том же 27-ФЗ предъявляются требования к Пенсионному фонду и страхователям обеспечить защиту сведений, входящих в индивидуальный лицевой счет застрахованного лица в соответствии с законодательством о ПДн (Статьи 6 и 17).

Несмотря на вышеописанное, аккредитованные удостоверяющие центры требуют указывать СНИЛС заявителя при подготовке квалифицированной электронной подписи. Причем, СНИЛС используется не только для нужд удостоверяющего центра, он является частью открытого ключа, а значит, доступен широкому кругу лиц.

«Квалифицированный сертификат должен содержать следующую информацию:
.
страховой номер индивидуального лицевого счета владельца квалифицированного сертификата — для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата — для юридического лица;»
Статья 17 ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи»

«6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный
сертификат должен содержать следующую информацию:
.
— страховой номер индивидуального лицевого счета (далее — СНИЛС) владельца квалифицированного сертификата — для физического лица;»
Приказ ФСБ от 27.12.2011 № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»

Вот и получается, что законодательство делает общедоступными ПДн СНИЛС всех граждан, кто хоть раз получал квалифицированную электронную подпись.

В качестве завершения статьи вопрос, риторический
— если удостоверяющие центры вполне легально публикуют ПДн субъектов ПДн (в частности СНИЛС), надо ли другим операторам ПДн у себя продолжать обеспечивать защиту этих ПДн?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *