имеет ли право сайт запрашивать паспортные данные
Кто может требовать копию паспорта. Перечень законных и незаконных ситуаций
Запросить копию паспорта могут в самых разнообразных ситуациях – и не всегда это законно.
Данные копии паспорта – это персональные данные или нет. Что это означает на практике
Копия паспорта гражданина является персональными данными, поэтому использовать ее можно с учетом №ФЗ-152 «О персональных данных». Любая организация, которая снимает копию с паспорта, автоматически становится оператором персональных данных (статья 3 ФЗ-152 ФЗ).
Оператор персональных данных должен использовать копию паспорта для конкретных целей, хранить ее в защищенном месте и не допускать утечек информации. Также операторы в обязательном порядке должны запросить согласие на обработку персональных данных у владельца паспорта в письменной форме с указанием целей, для которых эти сведения потребовались.
Гражданин может потребовать у организации, которая снимает копию, соглашение на обработку персональных данных. Если письменное соглашение в компании отсутствует, это должно насторожить. Высока вероятность, что паспортные данные могут попасть в руки мошенников.
Может ли копия заменить оригинал
Копия паспорта ни при каких обстоятельствах не заменит оригинал. Исключением является нотариально заверенная копия.
Но некоторые организации принимают копии или сканы паспорта для идентификации личности. Например, ряд микрофинансовых организаций выдают займы дистанционно и требуют только копию документа.
Снятие копии паспорта оправдано, с правовой точки зрения, в следующих случаях:
Рекомендации по предоставлению копии паспорта
Если копию паспорта запросили на законных основаниях, то нужно придерживаться некоторых рекомендаций. Так, старайтесь передавать паспортные данные только проверенным организациям, если это действительно необходимо. А также следите, чтобы ксерокопии снимали не со всего паспорта: обычно достаточно первых двух страниц. Можно также написать на копии паспорта, в какую организацию ее предоставили и с какой целью (чтобы копию не могли использовать мошенники в своих интересах).
Перечень незаконных требований. В каких случаях гражданин имеет право отказать в снятии копии паспорта
Информацию о человеке нельзя хранить, распространять и использовать без его согласия (на основании статьи 24 Конституции РФ). Во всех случаях, когда приложение копии паспорта к комплекту документов не предусмотрено законом, гражданин вправе отказать в снятии копии. Он может уточнить, для каких целей и со ссылкой на какой закон (либо локальный нормативно-правовой акт) требуется ксерокопия паспорта и почему недостаточно указания реквизитов.
Так, незаконными будут требования о снятии копии с паспорта:
Незаконное копирование паспорта без согласия владельца грозит нарушителю штрафом в размере 60-100 тыс. р. (на основании статьи 13.11 Кодекса об административных правонарушениях). Чтобы привлечь компанию к ответственности, гражданину следует пожаловаться в Роскомнадзор.
Утечка паспортных данных – какие неприятности могут грозить владельцу
Утечка паспортных данных грозит серьезными неприятностями для владельца, если копия попадет в руки мошенников:
Просят копию паспорта: 6 способов защититься
По копии чужого паспорта мошенник может взять кредит, оформить банковскую карту, арендовать квартиру и вывезти из нее мебель и технику. А получить копию просто — в интернете их продают по сто рублей за штуку.
Вот что сделать, чтобы защитить копию паспорта или хотя бы помешать мошенникам ей воспользоваться.
Как победить выгорание
Оценить контрагента
Одно дело, когда фото паспорта просит прислать солидное госучреждение, совсем другое — если это небольшой таксопарк. Компания может выглядеть благополучно, но при этом находиться на грани закрытия или существовать только в виде странички в «Инстаграме» или воображении мошенника.
Закажите выписку из реестра ФНС и посмотрите, чем на самом деле занимается компания, сколько в ней сотрудников, какой уставный капитал, нет ли информации о недостоверных сведениях.
Если вам предложили удаленную работу в ИТ-агентстве и попросили прислать фото паспорта, а по выписке компания занимается продажами, да еще и зарегистрирована по недостоверному адресу, это повод задуматься. Возможно, с таким контрагентом лучше вообще не иметь никаких дел — и тем более не отправлять ему копию паспорта.
Предложить обойтись без фото паспорта
Во многих ситуациях достаточно паспортных данных, без графического изображения страниц: например, при составлении договора купли-продажи или доверенности. Предложите другой стороне такой вариант: вместо фото паспорта вы присылаете распечатку данных в виде текста, а при подписании договора показываете документ, чтобы контрагент мог их проверить.
Такой вариант безопаснее: кредит или банковскую карту на текстовые данные оформить не получится.
Закрыть часть данных на фото
Банки принимают только копии паспортов без изменений, правок или пометок. А вот для небольших компаний можно эту копию немного изменить: если закрыть часть фото листом бумаги, для мошенника она станет менее полезной.
Хорошая идея — закрыть свою подпись, чтобы ее не скопировали. Даже если мошенник все-таки использует фото вашего паспорта, потом будет намного проще доказать подлог. Перед дальней поездкой распечатайте несколько таких копий, чтобы не искать принтер в дороге.
Написать на копии паспорта, когда и для кого ее сделали
Для банков копия паспорта с такой надписью не годится — у службы безопасности сразу возникнут вопросы к сотруднику, оформившему кредит. Но вариант сработает, если копию паспорта требуют в гостинице или при приеме на работу. Напишите, например, «Копия сделана для гостиницы „Ромашка“» или «Копия сделана для Иванова Петра, отдел кадров фирмы „Рога и копыта“» — и поставьте дату. А еще попросите сотрудника, которому отдаете копию, поставить на ней свою подпись.
Для копии в электронном виде отсканируйте версию с надписью или напечатайте текст поверх документа в графическом редакторе. Хорошо, если надпись перекроет часть вашего фото: так ее сложнее будет удалить.
Сделать копию низкого качества
Чем выше качество копии паспорта, тем проще с нее снять еще одну копию, поэтому цветная фотография в высоком разрешении на черном рынке ценится выше размытой черно-белой. Но отделу кадров или службе безопасности качество не важно — им нужно только проверить вашу личность. Поэтому идеальная копия — это черно-белое изображение, на котором с трудом можно разобрать текст, а фото владельца документа похоже на черный квадрат с разводами.
Нужные фильтры есть в большинстве графических редакторов. Можно даже инвертировать цвета — получится что-то вроде негатива.
Помнить о своем праве защищать персональные данные
Контрагент может отказаться принимать копию паспорта с пометками, и в случае с банками такой отказ обоснован. Но если отказ пришел из другой организации, скорее всего, это произвол. «Всегда так делаем» и «начальник распорядился» не считается законным основанием для отказа принять копию документа.
Постарайтесь объяснить, что закон разрешает вам защищать свои персональные данные так, как вы считаете нужным, и все действия с вашими персональными данными возможны только с вашего согласия. А проверить точность данных в копии паспорта никто не мешает — вот оригинал.
ст. 9 ФЗ «О персональных данных»: согласие на обработку персональных данных
И если все-таки отправили копию своего паспорта контрагенту, а потом передумали, у вас есть право отозвать согласие на обработку персональных данных. Компания будет обязана уничтожить все копии ваших документов.
Кредит взять можно а пиво по фотке паспорта не продают. Что за страна.
What, слышала, что только сейчас разрабатывают закон, позволяющий зафиксировать «отказ» в МоихДокументах на выдачу вам кредита. Как отказ на продажу квартиры без вашего ведома.
What, мошенники же, а кибе все честно
What, по фотке заграна иногда проканывает
Ната, мы с женой уже лет десять, когда пытаются сделать копию паспорта, просим дать нам эту копию сразу после копирования и пишем на ней ручкой, кому и когда дана копия. Очень редко, когда кто-то выступает против такого, но, как правило, в итоге всё решается в нашу пользу.
Персональные данные: ответы на популярные вопросы
Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?
Что такое персональные данные?
Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.
Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.
С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.
Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.
Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).
Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.
Обработка таких ПД не допускается, за исключением следующих случаев:
3. Биометрические ПД
Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.
Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Кто такой оператор персональных данных?
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
Какие условия обязан соблюдать оператор при обработке персональных данных?
Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:
Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
Пункты, которые обязательно должно содержать письменное согласие:
Можно ли не давать согласие на обработку ПД?
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
Однако оба довода являются спорными.
Почему организация может требовать оформления согласия на обработку ПД?
Причин может быть несколько:
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)
Какие персональные данные оператор собирает через сайт и зачем?
ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.
1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.
В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:
2. ПД, которые оператор собирает без предоставления вами информации.
В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).
Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».
Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.
Законно ли направление мне рекламы без моего согласия?
Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:
Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).
Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.
Как отказаться от назойливой рекламной рассылки?
Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.
При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.
Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.
Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:
Какие права у меня есть при обработке моих персональных данных?
1. Право на получение у оператора информации, касающейся обработки ваших ПД.
Вы можете обратиться к оператору с требованием о предоставлении следующей информации:
Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.
Как получить от оператора необходимую информацию?
Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.
В запросе обязательно нужно указать:
При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.
Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.
2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.
Вы можете требовать от оператора:
Такие требования можно предъявить, если ПД, которые обрабатывает оператор:
Как обратиться к оператору с одним из требований?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.
Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.
3. Право на отзыв согласия на обработку ПД.
После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.
Как отозвать согласие на обработку персональных данных?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.
Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.
4. Право принимать предусмотренные законом меры по защите своих прав.
Если вы считаете, что оператор:
В таких случаях вы можете обратиться:
Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.
1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.