Является ли номер паспорта персональными данными

Содержание:

1 Персональные данные: что это, нормативная база
2 Классификация персональных данных

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

ФИО;
место прописки и проживания;
паспортные данные;
образование;
ИНН;
контактные данные;
сведения о работе;
размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Персональные данные:
строго «не»
конфиденциально

Как защитить личную информацию

К то в группе риска?

Все, кто имеет счёт в банке, обслуживается в районной поликлинике, ездит в командировки, останавливается в гостиницах, делает покупки в интернет-магазинах и обращается в социальные службы – могут оказаться среди тех, чьи личные данные уйдут «на сторону». Получая ту или иную услугу, мы вынуждены предоставлять взамен информацию о себе: место жительства, наличие имущества, данные паспорта и пенсионного свидетельства, номер телефона и адрес электронной почты. А что с нашими персональными данными происходит потом? Защищены ли они от посторонних глаз, как того требует закон? Как мошенники могут использовать конфиденциальную информацию посторонних людей в своих преступных целях? И можем ли мы сами обезопасить себя от посягательств на личную информацию?

Рассмотрим типичную ситуацию.

Человек обратился в турагентство за путевкой. Сотрудник, заполняя необходимые формуляры, автоматически вносит его в базу данных клиентов. Формальности соблюдены. Однако отпускник не знает, что, возможно:

База персональных данных клиентов этого турагентства не защищена. Доступ к ней имеют все (добросовестные и не очень) работники сети турагентства.

Список клиентов с именами и контактами висит в облаке на Google-диске для удобства персонала, разбросанного по нескольким городам, а то и регионам страны.

В компании нет службы безопасности.

А всё это значит, что:

Базу с паспортными данными клиентов могут взломать и продать на чёрном рынке.

Клиентская база может попасть к продавцам или страховщикам, которые начнут надоедать звонками и навязывать свои услуги.

Кто бы ни был мошенник – хакер или работник – украсть и «слить» информацию ему никто не помешает

К сожалению, возможных сценариев утечки персональных данных – масса. Причинами могут стать технический сбой, компьютерная неграмотность, простая небрежность персонала и, в конце концов, корыстные цели сотрудников.

Чем грозит утечка ваших персональных данных?

Как защитить свои персональные данные?

Пострадать от незаконного использования персональных данных может абсолютно любой социально-активный гражданин. Однако знание некоторых законов и правил поможет уберечь личную информацию от посягательств мошенников.

Алексей Парфентьев,
ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»

Помните, что паспорт не может быть предметом залога. Если администратор фитнес-центра или пункта проката коньков требует у вас этот документ, знайте, что это незаконно. Не передавайте свой паспорт и охранникам на входе в офисные и другие здания. Требовать этот документ и брать его в руки может только сотрудник полиции.

Предоставляйте свои паспортные данные только подписав бумагу об обработке персональных данных. Отдельно должно быть прописано, что оператор обязуется не использовать данные в других целях. Если подобная «Политика защиты и обработки персональных данных» в компании есть и данные переданы на её основе, то в будущем, при выявлении мошеннических действий с вашими данными, оператора можно привлечь к ответственности.

Аналогично – в интернете. Знайте, что вписывая свой адрес и телефон при оформлении покупки в онлайн-магазине, вы передаете свои персональные данные. Лучше, если магазин понимает свою ответственность и гарантирует вам их защиту. Здесь вы даете согласие на обработку данных одним кликом.

По возможности используйте ксерокопию или сканкопию своих документов с watermark «для поликлиники/для салона связи/для автосервиса/для гостиницы». Пусть надпись размещается по ширине документа. Можно также скрыть подпись и номер печати.

Не передавайте свои данные по телефону, если не уверены, что на другом конце провода действительно сотрудник банка, страховой компании и т.д. Предложите встретиться в офисе и решить вопрос очно.

Не выкладывайте фото автомобильных номеров, авиабилетов, банковских карт, паспортов и других документов в социальные сети*. Информация, собранная по крупице, в конце концов, может стать хорошим досье, с помощью которого мошенник обведет вас вокруг пальца»

*Если вы похвастались фотографией золотой кредитки в фейсбук, а мошенники использовали эти данные против вас, воспользоваться законом №152 «О персональных данных» будет сложнее. Использование такой информации без вашего разрешения – в любом случае мошенничество, но тот факт, что вы сами обнародовали данные будет играть против вас.

Знаете ли вы основные правила информационной безопасности?
Проверьте это с помощью нашего теста.

Что делать, если вы обнаружили свои персональные данные в интернете?

Прежде всего свяжитесь с администрацией ресурса, где опубликована информация, или владельцем аккаунта, если речь о социальных сетях. Подкрепите требования ссылками на нормы закона № 152 «О персональных данных», который запрещает использовать информацию без разрешения субъекта данных. Предупредите, что в случае отказа вы вправе обратиться в суд согласно статье 24 закона (ответственность за нарушение требований ФЗ № 152).

Чтобы удалить личные данные из результатов поиска, обратитесь в техническую поддержку поискового сервиса. Например, у «Яндекса» есть специальная форма «Сообщить о нарушении». Однако компания предупреждает: поисковая машина индексирует страницы, которые принадлежат третьим лицам, и не отвечает за их содержание. «Яндекс» может помочь пользователю, но только в том случае, если данные удалили, а они по-прежнему видны в поисковой выдаче.

Когда невозможно установить источник распространения персональных данных или связаться с ним напрямую, обратитесь в надзорные органы: прокурату или Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Случаи утечек информации в разных странах мира

Скандальный сайт «Миротворец», который курирует член коллегии МВД Антон Геращенко, обнародовал персональные данные аккредитованных в ДНР журналистов и обвинил их в «сотрудничестве с боевиками». В сети были опубликованы имена и фамилии около 5 тысяч журналистов, их адреса, номера телефонов, должностей с указанием места работы. Помимо украинских СМИ, в список попали корреспонденты всемирно известных изданий BBC, Independent, Bloomberg, CNN, Reuters.

В Санкт-Петербурге чиновники городской администрации опубликовали в открытом доступе персональные данные граждан, участвующих в долевом строительстве жилья. Информацию о 1627 включенных в реестр обманутых дольщиках на официальном сайте правительства обнаружил интернет-пользователь, который ранее сообщил об аналогичной утечке персональных данных на сайте министерства ЖКХ Московской области.

Бюро кредитных историй Equifax в США заявило о взломе персональных данных 143 миллионов американцев. Злоумышленники использовали уязвимость в системе безопасности приложения на веб-сайте компании и получили доступ к номерам социального страхования, датам рождения, адресам и в ряде случаев к номерам водительских удостоверений. Кроме того, преступники получили доступ к данным кредитных карт 209 тысяч человек и к документам с персональными данными еще 182 тысяч человек. Среди них оказались жители Канады и Великобритании.

Австралия, 2017 г.

Жертвами утечки персональных данных оказались 48,2 тысячи сотрудников госучреждений, коммунальных служб и банков. Незащищенный массив с конфиденциальной информацией включал полные имена, данные удостоверений личности, номера телефонов, адреса электронной почты, пароли, реквизиты банковских карт, сведения о доходах и расходах сотрудников. Среди пострадавших организаций – компании Insurer AMP и Utility UGL, банк Rabobank, австралийское Министерство финансов, Австралийская избирательная комиссия.

Некоторые организации требуют предоставления паспортных данных, поскольку в противном случае не смогут оказать вам услугу, например, банки – при оформлении займа или авиаоператоры – при покупке билета. Закон позволяет это при условии, что вы согласны передать свои данные, а организация обязуется соблюсти принципы и условия обработки персональной информации. Причем соглашаться вы должны не на словах.

Компания в соответствии с собственной «Политикой обработки персональных данных» должна объяснить вам, какие именно персональные данные необходимы и зачем, где и как долго они будут храниться. Отдельно должно быть прописано, что оператор обязуется не использовать полученную информацию в других целях.

Если вы согласны – подписывайте официальную бумагу, передавайте информацию о себе и будьте уверены, что сможете привлечь компанию к ответственности в случае, если она не выполнит свои обязанности и не защитит данные. Если не согласны – воспользуйтесь услугами другой компании, которая персональных данных не требует. Впрочем, иногда требование компании предоставить личные данные может нарушать ваши права. Например, «Почта России» отказывается выдавать заказное письмо, пока не получит ваши паспортные данные на извещении, хотя Минкомсвязи этого не требует. Если такое произошло, следует обращаться с жалобой в Роскомнадзор. Это ведомство вправе возбуждать дела по Статье 13.11 КоАП РФ Нарушение законодательства Российской Федерации в области персональных данных с 01.07.2017.

Государство всерьез озабочено проблемой защиты персональных данных: Роспотребнадзор планирует наказывать рублем тех, кто необоснованно требует личную информацию и угрожает отказать в сделке/услуге, если клиент откажется ее передавать.

Необоснованно – это когда номер вашего паспорта требуют в театральной кассе, а номер водительского удостоверения – в поликлинике: зачем они им? Пока что разбираться, где компании перегибают палку, приходится самостоятельно, но Роспотребнадзор пообещал разработать перечень несправедливых условий, нарушающих права потребителей.

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

Применительно к отнесению данных к персональным важно понимать еще два момента:

Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

Факт № 4. Более сложные материи

Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

IP-адреса

При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).

Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).

Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.

Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.

Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.