Фио это что за данные
Подробное разъяснение, является ли ФИО персональными данными
Как часто в повседневной жизни мы называем незнакомцам свои имя, фамилию или отчество. Тем самым давая им право на обработку.
В материале мы рассмотрим, ФИО – это персональные данные или нет, а также расскажем, какие законодательство налагает обязательства на обработку такой информации и в каких случаях владельца может защитить закон Российской Федерации.
Законодательные основы
Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте тут, а в этой статье вы найдете примеры персональных данных).
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Являются ли персональными данными?
Фамилия
Роскомнадзор разъясняет, что фамилия физического лица считается его персональными сведениями. Однако не позволяет однозначно назвать субъекта. Есть более и менее распространенные фамилии, так что публикация фамилии гражданина Российской Федерации может в разной степени сократить выборку тех, кому оно гипотетически принадлежит.
Персональные данные в РФ неоднородны, они делятся на четыре категории, и для каждой характерны свои особенности. Если по персональной информации невозможно определить гражданина, которому они принадлежат, ведомости считаются обезличенными. Сведения такого рода хранятся по всем правилам, на бумажных или электронных носителях. Однако субъект персональных сведений не сможет доказать, что распространением ему был нанесен ущерб.
Имя принадлежит человеку, считается его личной информацией, ПД, однако максимально обезличенными. Без уточняющих данных выяснить, кому принадлежит имя, невозможно. Более того, зная имя человека, третье лицо не будет иметь возможность установить дополнительные ведомости.
Отчество
Отчество человека принадлежит физическому лицу, является его персональными сведениями. Входит в категорию обезличенных ведомостей. Под ними понимаются данные, не дающие возможность установить к какому человеку они относятся или что-то еще о нем.
Обезличенные сведения также хранятся в недоступных для третьих лиц местах.
ФИО вместе
Является ли ФИО в целом персональными данными, согласно разъяснениям Роскомнадзора? Да. В Федеральном законе России «О Персональных данных» говорится, что под вышеназванную категорию ведомостей попадает любая информация, принадлежащая физическому лицу. Все ФИО вместе является персональными ведомостями более высокого приоритета, чем указанное отдельно имя или отчество.
В зависимости от конкретных обстоятельств сведения могут иметь более высокий или низкий приоритет. Например, на отдельно взятом предприятии распространение ФИО даст возможность идентифицировать человека, в пределах большого населенного пункта – информация лишь сократит выборку, а если ФИО опубликовано без всякой дополнительной информации, то такие данные станут обезличенными, ведь идентификация не состоится.
Когда эта информация не может относиться к ПД?
В юридической практике это означает следующее – физическое лицо не может обратиться к оператору персональных данных с претензией по распространению таких сведений. Закон не защищает права субъекта, если речь не идет о конфиденциальности.
ФИО гражданина относятся к персональным сведениям, однако в зависимости от ситуации, информация может стать как полностью обезличенной, так и более приоритетной по возможным последствиям для ее владельца.
Персональные данные, права субъектов ПД
Все мы пользуемся телефоном, ходим на работу или на собеседования, пользуемся банковскими картами или просто путешествуем по просторам интернета. Зачастую даже не задумываясь о том, что оставляем след из персональных данных. Оставлять свои данные стало настолько привычно, что большинство из нас уже не читает соглашения или другие документы, с которыми соглашается «на автомате». При этом наши данные могут быть использованы для разных целей: для показа определенной рекламы, спам-рассылок, фишинга и т.д. В этой статье хотелось бы рассказать о правах субъектов персональных данных, т.е. нас с вами. Какие законы регулируют работу с персональными данными и как действовать в непростых ситуациях, как отстоять свои честь и достоинство и право на личное пространство, которого и так почти не осталось.
Что такое персональные данные?
«Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используется для идентификации отдельного человека среди других. По своей природе — это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать»
Таким образом, только работа с комбинацией данных позволяющих определить конкретного человека может считаться обработкой персональных данных. Например, ФИО в комплексе с номером телефона и паспортными данными несомненно позволят идентифицировать человека.
ФЗ-152 «О персональных данных»
Основной документ, который регулирует отношения в сфере персональных был принят, еще в 2006 году и называется Федеральный закон «О персональных данных». В него уже не раз вносились правки, но сейчас хотелось бы упомянуть о проекте нового КОАП, в данный момемнт активно обсуждается новый Кодекс административных правонарушений. В проект добавлена новая статья, которая предусматривает штрафы до 500 т.р. за утечку персональных данных. Раньше такой статьи не было, но не будем забегать вперед.
Сосредоточим внимание на 3-й Главе вышеупомянутого закона — она так и называется «Права субъекта персональных данных». И начнем со статьи 14. И первое на что имеет право субъект персональных данных – доступ к своим персональным данным. Другими словами Вы можете в любой момент отправить любому оператору (не важно является ли он Государственным органом или нет) запрос на предоставление сведений касающихся Ваших ПД, и оператор обязан предоставить такую информацию. Сроки обработки такого запроса могут быть разными, но не превышать 30 дней. Например, если вы обнаружили в сети интернет, данные о себе, которые не соответствуют действительности, то владелец такого ресурса должен в срок не более 7-ми дней с момента получения Вашего запроса внести необходимые корректировки или вовсе удалить их.
Данный момент закреплен в статье 20 Федерального закона «О персональных данных».
Как сформировать запрос оператору персональных данных?
При формировании такого запроса нужно соблюсти ряд требований, но они не очень сложны. Такой запрос должен содержать паспортные данные субъекта (Номер паспорта, дату выдачи, кем и когда он был выдан). Помимо этого Вы должны приложить подтверждение того, что оператор ведет обработку Ваших данных, это может быть номер и дата договора, скриншот или любые подтверждающие факт обработки сведения. Допускается даже словесное обозначение, т.е. просто описание того факта, что обработка Ваших персональных данных ведется конкретным оператором. Ну и конечно потребуется поставить подпись.
Допускается направлять запрос и в форме электронного документа, но в таком случае он должен быть подписан электронной подписью.
Если оператор предоставил Вам запрашиваемые сведения, то Вы имеете право запросить их повторно, но не ранее чем через 30 дней. Отсчет ведется с даты направления предыдущего запроса.
Если же оператор предоставил Вам не все сведения, которые Вы запрашивали, то ждать 30 дней не обязательно, в таком случае формировать повторный запрос можно сразу же. Но не забудьте обосновать свое обращение.
Какие сведения имеет право запросить субъект персональных данных?
На самом деле, оператор персональных данных должен соблюсти достаточно много условий для того, что бы иметь возможность работать с Вашей персональной информацией и поэтому список сведений, которые вы можете запросить достаточно большой. Давайте разберем их по порядку:
Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
Цели оператор определяет заранее, при подаче заявления в Роскомнадзор, подробнее про определение целей и подготовке уведомления в Роскомнадзор можно прочитать в этой статье.
Когда могут отказать в доступе к персональным данным?
Несомненно каждый человек имеет право запросить у оператора сведения об обработке собственных персональных данных. Но есть и ряд исключений, когда оператор может отказать. Как правило все эти случаи связаны с работой силовых ведомств. Это может быть оперативно-розыскная или разведывательная и контрразведывательная деятельность. Доступ к ПД может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации( отмыванию) доходов, полученных преступным путем.
Ограничение доступа может возникнуть, если нарушаются права и законные интересы третьих лиц.
Многие компании используют персональные данные для направления сообщений, которые рекламируют услуги или товары оператора. Все мы периодически получаем на почту информацию о скидках, акциях и специальных предложениях, но зачастую такие сообщения нам не интересны, докучают и мы даже не помним когда согласились на это «заманчивое» предложение.
В данном случае, помимо федерального закона «О персональных данных» стоит обратиться еще и к закону «О рекламе». Но давайте разбираться по порядку.
В ст. 15 ФЗ-152 говориться, что обработка персональных данных в целях продвижения товаров, работ и услуг при помощи средств связи может осуществляться только при условии согласия физического лица. Очень интересный момент заключается в том, что в случаях рекламы собственных работ и услуг, компания должна доказать, что такое согласие было получено.
В случае, если Вы все таки дали оператору такое согласие( путем проставления галочки в чек-боксе на сайте или заключая с ним договор), то в любой момент можете его отозвать. Для этого достаточно написать обращение в компанию, которая забрасывает Вас письмами и оператор обязан немедленно прекратить обработку Ваших персональных данных для целей носящих рекламный характер.
Более того, если сообщения Вы получаете на электронную почту, в письме должна быть ссылка для автоматического отказа и исключения Ваших контактов из рекламной рассылки.
Что же такое реклама, обратимся к определению – «информация, распространяемая любым способом и адресованная неопределенному кругу лиц направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижению на рынке».
Как и в ситуации с законом «О персональных данных» в законе «О рекламе», в главе 2, ст. 18 написано, что распространение рекламы по сетям электросвязи допускается только при условии, что абонент дал на это предварительное согласие. Так же рекламодатель обязан доказать наличие такого согласия, как и в случае с требованиями 152-ФЗ. Требования законов сходятся и части того, что рекламораспостранитель обязан немедленно прекратить процесс распространения рекламы получив соответствующее требование от физического лица.
Если регулятором в области персональных данных выступает Роскомнадзор, то в случае закона «О рекламе» это Федеральная Антимонопольная Служба (ФАС). Требования к оформлению жалобы, размещены на сайте регулятора. Выполнить их достаточно просто, во многом механизм подачи схож с требованиями к подачи обращения в РКН, нужно указать:
ПО результатам обращения ФАС может инициировать проверку. Результатом которой, вполне возможно, окажется штраф рекламораспространителю. Сумма штрафа в данном случае довольно существенная. Размер штрафов регламентирует ст. 14.3. КОАП РФ и достигать они могут 500 000р. 
Пример из жизни, Сбербанк опять не на высоте
В качестве примера разберем случай произошедший с ПАО Сбербанк в 2018г. Суть данного судебного разбирательства состоит в том, что ПАО «Сбербанк» заключил с одним из своих клиентов договор на выпуск международной карты. При этом договор присоединения был составлен таким образом, что подразумевал отправку сообщений рекламного характера. Клиент не мог получить необходимую ему карту и при этом отказаться от навязанной банком услуги. В данной ситуации потребитель банковской услуги не растерялся и отозвал ранее данное согласие.
Когда же он получил очередную рассылку с рекламой услуг банка он обратился в Федеральную антимонопольную службу.
Не смотря на ряд доводов представителей банка, суд постановил Сбербанк выплатить штраф в размере 250 000р. В соответствии с ч.1 ст. 14.3. КОАП РФ.
Что относится к персональным данным?
Преподаватель-юрист «Что делать Консалт»
Консультация эксперта
Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.
Определение персональных данных
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
В редакции 2011 года закон содержал перечень:
В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.
Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.
Категории персональных данных
Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.
Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.
Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.
Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.
Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.
В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.
Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.
Паспортные данные
Информацию в паспорте можно поделить на две категории.
Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.
Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
На вопрос, является ли ИНН персональными данными, нет однозначного ответа.
С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.
Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.
Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.
Номер телефона
При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.
Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является ( Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ ).
Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.
Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.
Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.
Электронная почта
В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.
Сетевые идентификаторы (IP-адрес, файлы cookie и др.)
В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.
Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.
Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.
Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.
Номер автомобиля
Государственный регистрационный номер присваивается автомобилю, а не собственнику.
Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.
Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.
Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.
Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.
Фотография
С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.
Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.
Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил : если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.
Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.
Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.
Состояние здоровья
Состояние здоровья – это специальная категория персональных данных.
Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.
Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.
Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»