Является ли номер банковской карты персональными данными
Обновлено: 30.04.2024
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
Как и в предыдущем кейсе - ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP - является ПД; Динамический IP - не является ПД.
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
ФИО (или отдельно Ф, И, О) и номер телефона - пожалуй, наиболее часто обрабатываемые данные.
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 - 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.
Разъяснения законодательства в сфере защиты прав субъектов персональных данных
Вопрос: Что относится к персональным данным?
Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.
Вопрос: Какие действия являются обработкой персональных данных?
Ответ: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Вопрос: Кто является оператором персональных данных?
Ответ: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети Интернет фотографии без иной дополнительной информации?
Ответ: Размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Вопрос: Является ли нарушением законодательства размещение в холле жилого дома списка должников по коммунальным услугам, в котором указаны номер квартиры и сумма долга, без указания ФИО?
Ответ: По смыслу положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» номер квартиры и сумма долга не позволяют прямо или косвенно определить конкретное физическое лицо (субъекта персональных данных). Учитывая изложенное, размещение сведений о номере квартиры и сумме долга не является нарушением законодательства в области персональных данных.
Обращения в сфере персональных данных
Обращения в сфере персональных данных
Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Ответ: Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.
Вопрос: Кто может являться оператором персональных данных?
Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Исключение составляют случаи, предусмотренные ч. 2 вышеуказанной статьи, при обработке персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.
Вопрос: После удаления своего аккаунта из социальной сети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в социальной сети о лице, давно удалившемся из нее?
Ответ: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 Федерального закона «О персональных данных» предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.
Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?
Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.
Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Ответ: Согласно ч. 1 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
3) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
9) осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?
Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору, должна администрация предприятия, на котором работает субъект персональных данных.
Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?
Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Административная ответственность за нарушение настоящего Федерального закона наступает за:
- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);
- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).
Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.
Подборка наиболее важных документов по запросу Персональные данные в платежных документах (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика: Персональные данные в платежных документах
Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2019 год: Статья 108 "Окончание процессуального срока" ГПК РФ
(ООО юридическая фирма "ЮРИНФОРМ ВМ") Руководствуясь статьей 108 ГПК РФ и установив, что во исполнение определения суда об оставлении иска без движения, через канцелярию суда первой инстанции истец в последний день установленного судом срока направил следующие документы: платежное поручение об уплате государственной пошлины; копии инвентаризационных материалов, указав, что поскольку документы, приложенные к исковому заявлению, содержат персональные данные ответчиков и копия трудового договора имеется на руках у каждого ответчика, то данные документы направлены только в адрес суда; представлен расчет взыскиваемой суммы по каждому ответчику, апелляционный суд возвратил материалы по иску в суд первой инстанции для рассмотрения со стадии принятия иска к производству, придя к выводу, что указанные в определении суда об оставлении без движения иска недостатки устранены стороной в срок, чего не было учтено судом первой инстанции при вынесении обжалуемого определения о возвращении иска.
Статьи, комментарии, ответы на вопросы: Персональные данные в платежных документах
Открыть документ в вашей системе КонсультантПлюс:
Статья: Какие данные являются персональными: позиция суда
(Бычков А.)
("Кадровая служба и управление персоналом предприятия", 2021, N 5) Судебная практика. Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (Апелляционное определение Самарского областного суда от 17.10.2019 N 33-12118/2019).
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 3
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Автор статьи
Читайте также: