Российское законодательство гарантирует защиту персональных данных. Однако что именно к ним относится – вопрос спорный. И принятое в 2023 году определение Верховного Суда РФ должно наконец решить вопрос, входят ли в число персональных данных номер телефона и адрес электронной почты.
🤔 Что такое персональные данные, и относятся ли к ним телефон и e-mail
Согласно ст. 3 ФЗ «О персональных данных» к ним относятся сведения, прямо или косвенно связанные с физическим лицом. Проще говоря, персональными считаются те сведения, которые позволяют однозначно идентифицировать человека, к которому они относятся.
Обычно персональными данными считаются:
- паспортные данные, СНИЛС и ИНН (ИНН для целей государственного налогообложения – главная информация: похожие как две капли воды люди бывают (однояйцевые близнецы), полные тёзки (люди с одинаковыми именами) тоже встречаются, совпадение даты рождения тоже возможно – но данные ИНН не повторяются никогда);
- место и дата рождения;
- место регистрации – постоянной или временной;
- наличие или отсутствие судимости;
- сведения об индивидуальных данных (раса, национальность, политические или религиозные убеждения, состояние здоровья);
- биометрические данные;
- полное имя (фамилия, имя и отчество – если оно согласно национальным обычаям используется) человека;
- фото- или видеозапись, позволяющие идентифицировать человека;
- сведения о семейном положении, детях и близких родственниках.
Когда заработает eSim в России. Новые технологии вступают в противоречие с традиционным законодательством
ЧитатьВ России появится третья форма рубля - цифрорубль. Для чего он нужен и чем отличается от безналичных денег и криптовалюты
ПодробнееОплата проезда «лицом». Как в московском метро будет работать система распознавания лиц
Смотреть Но при этом оценка того, пригодны ли данные для идентификации, должна производиться в комплексе. К примеру, человек в силу любви к японской литературе часто пользуется на форумах, сайтах и в соцсетях одним никнеймом «Бисэй» («Bisey»). Но само по себе это мало что значит: любой читавший классический рассказ Акутагавы Рюноскэ «Как верил Бисэй», может зарегистрировать электронную почту или никнейм с этим именем.
Соответственно, просто адрес почты типа «bisey@почтовая_служба.ру» (если сервер не требует дополнительной идентификации) ни в коем случае не позволит идентифицировать человека. А вот в случае, если вместе с e-mail будут указаны адрес, дата рождения или другие сведения – почта может стать и персональной информацией.
Что же касается номера телефона, то он, согласно ст. 44 ФЗ «О связи», всегда должен быть привязан к паспортным данным гражданина – потому может рассматриваться как персональные данные.
👨⚖ Судебная практика
Вопрос о том, являются ли электронная почта и номер телефона персональными данными, решал Верховный Суд РФ. И определение от 21 июня 2023 года № 305-ЭС23-12160 по делу №А40-139096/2022 внесло ясность в этот вопрос.
Суть дела состоит в следующем: Роскомнадзор признал обработку персональных данных (включающих в себя телефон и адрес электронной почты), которую проводила страховая компания, неправомерной. Компания обжаловала действия государственного органа в судебном порядке.
Согласны ли вы с тем, что ваш номер телефона и адрес электронной почты не защищаются как персональные данные?
Да, всё правильно.Нет, я устал(а) от спама.Не имею чётко выраженного мнения.
В судебных заседаниях было установлено следующее:
- доводы Роскомнадзора о том, что адрес почты и телефон являются уникальными, не были подтверждены в судах: без дополнительных данных эти сведения бесполезны для идентификации;
- в одном домене одним и тем же лицом могут быть зарегистрированы разные адреса одним и тем же лицом, а телефонный номер может быть передан другому абоненту;
- использованная компанией форма «Заявка на оформление полиса» не включала в себя сведений, позволяющих заведомо точно определить конкретное физическое лицо;
- сбор сведений, установленных в п. 1 ст. 3 ФЗ «О персональных данных», компанией не производился. Собранные сведения относились к обратной связи, позволяющей сотрудникам компании связаться потенциальными клиентами, и не позволяли идентифицировать каждого обратившегося (тем более что данные могли предоставлять как физические, так и юридические лица, а также ИП);
- сведения, полученные страховщиком, не включают в себя полное имя, СНИЛС, ИНН или другую информацию, позволяющую точно указать конкретного человека.
В результате Верховный Суд РФ согласился с принятыми нижестоящими судами актами – и отказал в пересмотре дела в кассационном порядке.
⚖ Ответственность за распространение номера телефона и адреса электронной почты
Решение, принятое Верховным Судом РФ, может повлечь ряд негативных последствий:
- распространение сведений, не содержащих личных данных (то есть одних только номеров телефона и адресов электронной почты) может быть признано законным;
- как следствие, на пользователей обрушится дополнительный вал спама по имеющимся контактам;
- привлечь виновных к ответственности не получится.
☝️ Заключение
Подводя итог, можно сказать следующее:
- законодательство РФ гарантирует защиту персональных данных;
- верховный Суд РФ определил, что сами по себе номер телефона и адрес электронной почты не должны защищаться так, как прочая персональная информация;
- информация, содержащая контакты гражданина, но не связанная с его личной идентификацией, может распространяться и храниться даже в случаях, не предусмотренных законодательством.
Можно ли наказать автора дипфейк-видео и какая ответственность ему грозит
ЧитатьЦифровой код здоровья. Где и в каком виде уже используется
ПодробнееЦифровой рубль. Чем отличается от безналичных денег и зачем ЦБ РФ дополнительная форма валюты
Смотреть ❓ Частые вопросы
Что такое биометрические персональные данные?
– Согласно ст. 11 ФЗ «О персональных данных», к числу таких сведений относятся физиологические и биологические особенности конкретного человека, на основании которых можно установить его личность.
На практике к биометрическим данным обычно относят:
- фотография лица (с контрольными точками, по которым алгоритм распознавания может сработать);
- отпечатки пальцев;
- запись голоса (по которой возможен анализ тембра и других индивидуальных особенностей произношения);
- рисунок сетчатки глаза и подкожных вен.
Список не исчерпывающий: по мере развития технологий к биометрии может быть отнесена и другая информация.
К биометрическим данным могут отнести сведения о татуировках, пирсинге и шрамах?
– Вопрос открытый. С одной стороны, эти сведения ещё до появления самого термина «биометрия» относились к особым приметам, по которым возможно опознание человека. С другой – нормативные акты прямо не относят их биометрическим персональным данным – поскольку теоретически возможна ситуация, когда два человека могут иметь одинаковые шрамы, пирсинг или татуировки – и для опознания человека сведения о них могут использоваться лишь совокупно с другими данными (пол, возраст, раса и т. д.). Так что по состоянию на 2023 год эта ситуация до конца не урегулирована.
Поведенческая биометрия - что это?
– Это новый метод анализа биометрической информации, основанный не на статических данных (то есть не меняющихся – фото, отпечатки пальцев и т. д.), а на сформированной алгоритмом картине типичных движений, совершаемых человеком. Например, движения, которыми человек набирает текст на клавиатуре, берётся за компьютерную мышь – являются уникальными, и по ним его можно опознать.
К слову, поведенческая биометрия в этом плане близка к почерковедческой экспертизе: эксперты в последние десятилетия анализируют не только почерк, но и прессограмму – отпечаток давления ручки на листе бумаги, поскольку прессограмма уникальна у каждого человека. К сожалению, использование фломастеров и ручек с мягким стержнем не всегда позволяют её снять.
Медицинский диагноз и информация о состоянии здоровья - это персональные данные или нет?
– Да. Согласно ч. 1 ст. 10 ФЗ «О персональных данных», информация о состоянии здоровья относится к специальной категории персональных данных. Поэтому, к слову, согласно абз. 7 ст. 88 ТК РФ работодатель не вправе запрашивать у работника сведения о состоянии здоровья, кроме тех, которые относятся к возможности исполнения им трудовых обязанностей. А диагноз, согласно ч. 1 ст. 13 ФЗ «Об основах охраны здоровья граждан в РФ», вообще является врачебной тайной.
А копия паспорта?
– Однозначно да, поскольку копия страницы с фотографией, согласно ст. 11 ФЗ «О персональных данных», относится уже к биометрической информации.
Можно считать фотографию персональными биометрическими данными?
– Как пояснил Роскомнадзор своим письмом от 29 августа 2022 г №08-78032, в некоторых случаях фотография может считаться такого рода информацией.
А портрет, нарисованный художником?
– Нет. Портрет, нарисованный художником, может рассматриваться как объект авторских прав – но персональными биометрическими данными не считается, поскольку не является абсолютно точным изображением лица.
В каких случаях банк может обрабатывать биометрические персональные данные?
– Только с согласия клиента. Требовать обязательного предоставления этой информации банк не вправе, хотя и может предложить как услугу идентификацию клиента на основе биометрии (чтобы, например, можно было осуществлять операции в банкомате без карточки – только по фото и голосовому паролю).
Что входит в биометрические данные для банка?
– По состоянию на 2023 год банки собирают:
- фото клиента;
- запись его голоса;
- отпечатки пальцев.
В будущем возможен сбор и другой информации – но с сентября 2023 года банки обязаны сдать сведения в Единую биометрическую систему (ЕБС).