Фамилия это персональные данные

Защита прав субъектов персональных данных

1. По обращению гражданки С. в отношении ООО «ЦЕНТР КОСТНО-СУСТАВНОЙ ПАТОЛОГИИ» по вопросу незаконного распространения ПД — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.

Управление Роскомнадзора по Республике Карелия, рассмотрев обращение, не усмотрело наличия каких-либо нарушений требований законодательства в области обработки персональных данных.

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используется для идентификации отдельного человека среди других. По своей природе — это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена. В состав реквизита «подпись» входят: наименование должности лица, подписавшего документ, личная подпись и расшифровка подписи (инициалы, фамилия). Подпись является обязательным реквизитом любого документа и подтверждает достоверность сведений, изложенных в тексте документа, и полномочия должностного лица, подписавшего документ.

В статье опубликовано интервью Эльвиры Александровны о ситуации, произошедшей с её дочерью, которая не носит фамилию гражданки С.. Согласно пояснениям сотрудников газеты «Карельская Губернiя» при фотографировании ответа учреждения здравоохранения, предоставленного героиней статьи, в объектив фотоаппарата попала нижняя часть другой страницы из подборки материалов.

В действиях редакции газеты «Карельская Губернiя» не обнаружены признаки нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных). В настоящее время в сети Интернет на странице сайта http://www.rep.ru/dailv/2012/03/28/18275/ размещена статья «Пиявки довели до больничной койки?», которая не содержит сведений о фамилии гражданки С..

В соответствии с п. 5 ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство и деловой репутации. В случае если данной публикацией нанесен ущерб правам гражданки С., то гражданка С. вправе наряду с опровержением таких сведений требовать возмещения убытков и морального вреда, причиненных их распространением, обратиться в суд с иском к редакции газеты «Карельская Губернiя» о защите чести и достоинства.

2. По обращению гражданки Е. в отношении ОАО «Мобильные ТелеСиситемы» по вопросу непричастности к договору на оказание услуг подвижной связи и использование персональных данных без согласия — внеплановая проверка проводилась, информация подтвердилась. Заявителю даны разъяснения.

Управлением Роскомнадзора по Республике Карелия рассмотрено обращение гражданки Е. в части соблюдения требований законодательства в областях связи и обработки персональных данных.

ОАО «Мобильные ТелеСистемы» заключило Договор № 1013523 от 01.09.2010 г. с ЗАО «Русская Телефонная Компания», по условиям которого Дилер (коммерческий представитель) обязуется совершать от имени и за счет Оператора действия по поиску потенциальных Абонентов, их справочно-информационному обслуживанию, а также юридические действия по заключению Абонентских договоров на территории Республика Карелия. По договору, заключенному третьим лицом от имени и за счет оператора связи, права и обязанности возникают непосредственно у оператора связи.

В ходе проверки выявлено нарушение пункта 5 лицензионных условий, установленных лицензией на предоставление услуг подвижной радиотелефонной связи № 56081, а именно:

— заключение договора на оказание ОАО «МТС» услуг подвижной радиотелефонной связи с неустановленным абонентом в нарушение пунктов 14, 15, 18, 19 Правил оказания услуг подвижной связи, утвержденных Постановлением Правительства РФ от 25.05.2005 № 328 (далее — Правила);

— оказание услуг без заключения с абонентом договора в нарушение пункта 14 Правил;

— не сообщение (в письменной форме) о результатах рассмотрения оператором связи претензий абонента в срок, не превышающий 60 дней с даты регистрации претензий в нарушение п. 55 Правил.

Поскольку совершенное Обществом правонарушение непосредственно посягает на права потребителей, следовательно, срок давности привлечения к административной ответственности в силу части 1 статьи 4.5 КоАП РФ составляет один год со дня его совершения. На юридическое лицо ОАО «МТС» составлен протокол об административной правонарушении, ответственность за которое предусмотрена частью 3 статьи 14.1 КоАП РФ.

В соответствии со ст. 5 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться на законной основе, при обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность для целей обработки.

В ходе рассмотрения обращения гражданки Е. выявлено нарушение установленного законом порядка сбора, хранения, использования информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных (п.п. 1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Коммерческим представителем ОАО «МТС» были незаконно (без согласия) использованы персональные данные гражданки Е. с целью осуществления действий по заключению фиктивных договоров, выполнения плана-продаж.

Таким образом, в действиях ЗАО «РТК» и ОАО «МТС» обнаружены признаки административного правонарушения, предусмотренного ст. 13.11 Кодекса Российской Федерации об административных правонарушениях — нарушение установленного законом порядка использования или распространения информации о гражданах (персональных данных). В соответствии со ст.28.4 КоАП РФ, дела об административных правонарушениях, предусмотренных ст. 13. И КоАП РФ, возбуждаются прокурором.

В связи с вышеизложенными фактами ОАО «МТС» выдано предписание об устранении выявленных нарушений в части неправомерной обработки персональных данных.

Результаты проверки направлены в органы прокуратуры городов Москвы и Петрозаводска для принятия мер прокурорского реагирования.

3. По обращению гражданки Г. в отношении ЗАО «Банк Русский стандарт» по вопросу защиты прав субъектов персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных. Заявителю даны разъяснения.

На основании ч.2 ст.7 Федерального закона от 02.05.2006г. №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». У гражданки Г. к обращению не приложены документы подтверждающие факты нарушения требований законодательства в области персональных данных граждан (уведомление ООО «Агентство по сбору долгов» или других доказательств передачи Банком «Русский стандарт» персональных данных гражданки Г. третьим лицам). Управлением Роскомнадзора по Республике Карелия 21.05.2012г. (исх.№АД-04/10-958) делался запрос в адрес гражданки Г. о представлении копий документов, подтверждающих доводы, изложенные в обращении. Однако до настоящего времени не представлены документы, подтверждающие нарушения законодательства в области персональных данных.

Часть 1 и 5 статьи 5 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации» гарантируют гражданину следующие права:

«1) представлять дополнительные документы и материалы либо обращаться с

просьбой об их истребовании…».

Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности» (с изменениями).

4. По обращению гражданина К. в отношении МУЗ «Городская поликлиника №3» по вопросу обработки избыточных персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных.Заявителю даны разъяснения.

При рассмотрении обращения гражданина К., поступившего из прокуратуры г. Петрозаводска, Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями). В соответствии с ч.2 статьи 7 Федерального закона от 02.05.2006 №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». В обращении недостаточно конкретной информации, которая позволила бы объективно и своевременно рассмотреть его по существу. В обращении гражданина К. написано про «различные персональные данные», при этом не указано какие именно категории персональных данных по мнению гражданина К. собираются не правомерно.

Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности». 29.05.2012г. направлялся запрос в адрес гражданина К. о представлении конкретной информации, а именно какие категории персональных данных собираются не правомерно. Ответа до настоящего времени не поступало.

Поэтому вопрос об избыточности сбора персональных данных поликлиникой №3 в настоящее время оставлен без рассмотрения.

По вопросу сертификации информационной системы базы персональных данных поликлиники №3 г. Петрозаводска, Управление Роскомнадзора по Республике Карелия направило обращение гражданина К. руководителю ФСТЭК по СЗФО.

5. По обращению гражданина М. по вопросу нарушения прав субъекта персональных данных — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.

При рассмотрении обращения гражданина М., поступившее из Управление Федеральной антимонопольной службы по Республике Карелия Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями).

На основании ч.15 ст. 155 ЖК РФ «Наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности».

В данном случае ООО «Энергокомфорт» в качестве агента выбрало Акционерный коммерческий Сберегательный банк Российской Федерации (ОАО) и заключило с ним договор №8628-16/16 от 17.12.2010г. о приёме платежей физических лиц в валюте Российской Федерации с использованием Интегрированной системы приёма платежей населения.

В соответствии с п.4.1.7 указанного выше договора, Банк обязуется не разглашать и не передавать другим лицам (обеспечить конфиденциальность) информацию, связанную с использованием системы.

Для предотвращения информации от несанкционированного доступа используется криптографическая защита информации, СКЗИ «Бискрипрт-КСБ-С», которая удовлетворяет требованиям к стойкости СКЗИ класса КС1.

По результатам рассмотрения заявления гражданина М., Управление Роскомнадзора по Республике Карелия не выявило нарушений действующего законодательства в области персональных данных.

6. По обращению гражданина М-ва в отношении МКП «Петрозаводская паспортная служба» по вопросу распространения персональных данных без согласия субъекта — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия в соответствии с полномочиями, определёнными Положением об Управлении, рассмотрело обращение гражданина М-ва, поступившее из прокуратуры г. Петрозаводска.

Управлением сделан запрос в МКП «Петрозаводская паспортная служба» и был получен ответ, что справка №040492 о регистрации была выдана по запросу Петрозаводского городского суда от 10.11.2011г. №2-8080/5 (судья Овчинникова О.В.).

В соответствии с п.2 ст. 13 ГПК РФ, законные распоряжения, требования, поручения, вызовы и обращения судов являются обязательными для всех без исключения должностных лиц, граждан, организаций и подлежат неукоснительному исполнению на всей территории Российской Федерации.

На основании п.п.З п.1 ст.6 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», обработка персональных данных допускается, если она необходима для осуществления правосудия.

Из представленных в наш адрес для рассмотрения обращения материалов Управление Роскомнадзора по Республики Карелия не выявило нарушения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ.

Время публикации: 20.07.2012 16:23
Последнее изменение: 20.07.2012 16:55

Персональными данными человека согласно Федерального закона О персональных данных № 152-ФЗ от 27.07.2006 года является любая информация, прямо или косвенно относящаяся к определённому физическому лицу. То есть это те сведения, которые позволяют его идентифицировать.
Фамилия, имя, отчество, год и место рождения, а тем более серия и номер паспорта, домашний адрес и телефон, номер ИНН и СНИЛС в любом случае относятся к этим сведениям. Поэтому они не должны передаваться третьим лицам без письменного согласия человека.
История болезни не относится к персональным данным, так как по ней нельзя идентифицировать конкретного человека, одним и тем же заболеванием могут болеть совершенно разные люди в разных концах света. Тем не менее эти сведения охраняются законом о врачебной (медицинской) тайне (статья 13 Федерального закона № 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан в РФ, статья 23 Конституции РФ), неразглашение которой является одной из составляющих клятвы Гиппократа.
А вот разглашение без согласия пациента, помимо серьёзного нагоняя от руководства, может повлечь для медперсонала ответственность по статьям 13.14 Кодекса Административных правонарушений или даже по статье 137 Уголовного кодекса РФ.
Исключение составляют редкие случаи, например когда человек по своему состоянию здоровья может заразить окружающих каким-то инфекционным заболеванием (полный перечень приведён в пункте 4 вышеупомянутой статьи 13 Федерального закона № 323-ФЗ).
Так что пойти в больницу и спросить, чем болел человек, вы конечно можете, но вряд ли вам на этот вопрос кто-либо ответит (и правильно сделают). А вот спросить это у самого человека и получить ответ можно совершенно спокойно.

В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие «Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.

С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.

Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?

Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.

  1. Файлы cookies — были признаны ПД в деле, многим известной, социальной сети Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.

Возникает вопрос — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?

  1. ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.

Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?

  1. Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт https://2019.vote/, сайт А.А. Навального «Умное голосование”: Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018. Вопрос политизированности решения и необходимости заблокировать сайт в данной статье не рассматривается.

ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных

  1. IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.

Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.

  1. Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.

Существует точка зрения, что если email содержит в себе ФИО (например: lev.kusnetsov@gggg.ru), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?

  1. ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.

В какой момент ФИО и номер телефона становятся персональными данными — не известно. По информации РКН (ответы на наиболее часто задаваемые вопросы https://77.rkn.gov.ru/p3852/p13239/p13309/) — ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данные, не являются ПД. Но, как только Оператор обрабатывает данные в совокупности, например ФИО+телефон или ФИО+email — считается, что Оператор уже обрабатывает ПД.

К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.

Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 — 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *