является ли номер квартиры персональными данными физического лица
Является ли номер квартиры персональными данными физического лица
Разъяснения законодательства в сфере защиты прав субъектов персональных данных
Вопрос: Что относится к персональным данным?
Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Вопрос: Какие действия являются обработкой персональных данных?
Ответ: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Вопрос: Кто является оператором персональных данных?
Ответ: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети Интернет фотографии без иной дополнительной информации?
Ответ: Размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Вопрос: Является ли нарушением законодательства размещение в холле жилого дома списка должников по коммунальным услугам, в котором указаны номер квартиры и сумма долга, без указания ФИО?
Ответ: По смыслу положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» номер квартиры и сумма долга не позволяют прямо или косвенно определить конкретное физическое лицо (субъекта персональных данных). Учитывая изложенное, размещение сведений о номере квартиры и сумме долга не является нарушением законодательства в области персональных данных.
Время публикации: 13.12.2016 14:31
Последнее изменение: 23.05.2019 11:01
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Правомерность обнародования списка должников ЖКУ
Нередки случаи в практике управляющих организаций, когда они в качестве меры воздействия на неплательщиков ЖКУ избирают способ обнародования списка должников на так называемой “доске позора” в подъезде или на придомовой территории. На самом деле, это является грубым нарушением ФЗ №152 “О персональных данных”. О правомерности обнародования списка должников ЖКУ сегодня и поговорим.
Персональные данные
Прежде чем разобраться в правомерности вывешивания на всеобщее обозрение списка должников жилищно-коммунальных услуг, необходимо разобраться в вопросе о персональных данных.
Под персональными данными понимается любая информация, относящаяся к физическому лицу, включая ФИО, год рождения, место проживания, имущественное положение. Поскольку данная информация позволяет определить личность субъекта персональных данных.
При заключении договора управления МКД управляющая организация получает от собственников их персональные данные. В работу управляющей организации входят функции по приёму первичных документов для регистрационного учёта граждан, а также ведению и хранению этих документов. То есть, управляющая организация получает право на обработку персональных данных собственников помещений в МКД.
Под обработкой персональных данных понимается их сбор, систематизация, накопление, хранение, обновление, изменение, использование, распространение, обезличивание, блокирование и уничтожение. Сбор, хранение и распространение персональных данных регулируются ФЗ №152 “О персональных данных”. Нарушение закона, в частности, распространение персональных данных о человеке влечёт за собой административную ответственность.
Вывешивание списков должников ЖКУ
К сожалению, данная ситуация не редкость. Управляющие организации, а иногда и РСО имеют склонность вывешивать на дверях подъездов или на информационных досках во дворах МКД списки неплательщиков за жилищно-коммунальные услуги. При этом, они не задумываются о нарушении закона “О персональных данных”. За такие противоправные действия привлечь к административной ответственности могут именно управляющие организации.
Некоторые управляющие организации хитро обходят закон, размещая информацию о должниках ЖКУ с обезличенными данными. Например, только номер квартиры и сумму долга. Они читают, что обобщённая информация без разглашения других персональных данных не даёт возможности установить личность человека. Поэтому информацию можно считать обезличенной и соблюдение конфиденциальности в данном случае не требуется.
Но не следует пользоваться этими советами, чтобы не попасть под административные штрафы за разглашение конфиденциальной информации. Лучше работать с должниками индивидуально по другой схеме. Например, проводить персональные беседы с неплательщиками, обсуждать проблемы должников на общих собраниях собственников или оглашать общую сумму задолженности МКД.
Ответ Роскомнадзора
В связи со сложившейся ситуацией управляющие организации направили запрос в Роскомнадзор, является ли номер квартиры персональными данными физического лица и будет ли считаться нарушением ФЗ №152 размещение на информационных стендах УК информации о его задолженности с указанием суммы задолженности?
В своём ответе Роскомнадзор сослался на ст.3 ФЗ №152, согласно которой под персональными данными подразумеваются любые сведения, прямо либо косвенно относящиеся к определяемому физическому лицу. По мнению ведомства, эта информация должна быть персонализирована, чтобы позволить идентифицировать субъекта персональных данных.
Поэтому номер квартиры, по словам Роскомнадзора, без указания дополнительных сведений не является информацией, которая позволяет однозначно идентифицировать определяемое физическое лицо. То есть, размещение информации о должнике с указанием номера его квартиры и суммы долга, но без ФИО не может подразумевать обработку его персональных данных. Это, соответственно, не является нарушением закона “О персональных данных”.
Судебная практика
Однако нельзя принимать на веру данное разъяснительное письмо Роскомнадзора, поскольку судебная практика свидетельствует о противном. Конечно, каждый случай индивидуален, поэтому суды в разных регионах принимают различные решения по данному вопросу. И не всегда в пользу управляющих организаций.
Более того, нарушением считается даже предоставление по запросу председателя совета МКД распечатанного списка должников с указанием их номеров квартир и суммы задолженности. Например, постановлением судьи г.Кирова управляющая организация признана виновной в совершении правонарушения по ст.13.11 КоАП РФ, но отделалась предупреждением.
Заместитель руководителя УК выдал по запросу председателю совета МКД письмо с приложением запрашиваемого списка должников с указанием их номеров квартир и суммы образовавшейся задолженности по оплате ЖКУ.
Суд посчитал это нарушением, поскольку адрес физического лица является его персональными данными. Поэтому указание адреса позволяет идентифицировать физическое лицо, что является несанкционированным распространением персональных данных собственников помещений в МКД.
Другим решением суда г.Ульяновска товарищество собственников жилья признано виновным по ст.13.11 КоАП РФ в распространении персональных данных без согласия их субъектов. Указанные действия нарушают права граждан и требования действующего законодательства. В результате ТСЖ назначен административный штраф.
И ещё одним решением суда г.Чебоксары вынесено обвинительное постановление в отношении управляющей организации, которая развесила списки должников с указанием их номеров квартир и суммы долга на дверях подъездов МКД. Суд посчитал это нарушением обработки и распространения персональных данных, что квалифицируется штрафом в размере 5 000 рублей по ст.13.11 КоАП РФ.
Согласие субъекта персональных данных
Согласно п.1 ст. 6 ФЗ №152 оператор в нашем случае в лице управляющей организации может обрабатывать персональные данные с согласия их субъекта в целях исполнения договора управления МКД.
В соответствии с п.2 ст.162 ЖК РФ по договору управления УК по заданию собственников за плату выполняет работы и оказывает услуги, а также осуществляет иную деятельность в целях управления МКД. Поэтому обработка персональных данных собственников необходима для организации выполнения работ по договору, начисления платы за ЖКУ, печати и доставки квитанций.
Но работа по взысканию задолженности осуществляется не для исполнения УК договора управления, а для контроля исполнения обязательств собственниками. Поэтому для осуществления претензионно-исковой деятельности управляющей организации необходимо получить письменное согласие собственников на обработку их персональных данных. Нельзя в каком бы то ни было виде размещать и публично разглашать персональные данные о неплательщиках ЖКУ. Это грубое нарушение, за которое УК может получить штраф.
Кроме того, независимо от того, нужно или нет получать согласие собственников на обработку их персональных данных, управляющая организация обязана обеспечить их конфиденциальность. То есть, не допускать распространения персональных данных без согласия собственников (п.1 ст.7 Закона “О персональных данных”).
Под распространением персональных данных понимается их передача определённому кругу лиц или ознакомление с ними неограниченного круга лиц, включая обнародование в СМИ, размещение в Интернете или предоставление доступа иным способом. Поэтому управляющая организация не имеет права без согласия собственников передавать или обнародовать их персональные данные.
Ответственность
Если у вас остались вопросы, вы всегда можете обратиться к нам за консультацией. Также мы помогаем управляющим компаниям соответствовать 731 ПП РФ о Стандарте раскрытия информации (заполнение портала Реформа ЖКХ, сайта УК, информационных стендов) и ФЗ №209 (заполнение ГИС ЖКХ). Мы всегда рады вам помочь!
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.