Какие данные о человеке считаются персональными?

Действующий закон «О персональных данных» дает довольно общее определение этому понятию, без конкретизации.

«Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», – гласит 3-я статья закона. В законе нет какого-либо конкретного списка – считать или не считать персональными данными, например, ФИО, дату рождения или семейное положение.

При этом в статье 8 говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)».

Такие источники – но лишь с согласия самого субъекта – могут открывать такие сведения, как «фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные», которые добровольно решит передать человек. При этом тот же субъект, либо суд или уполномоченная госструктура вправе потребовать убрать данные из открытого доступа.

Обработка персональных данных (ПД) в большинстве случаев предполагается добровольной. Об этом говорит статья 6 закона. Но в той же статье приводится пространный список случаев, когда данные берутся не добровольно – например, при участии человека в судебном процессе.

Итак, сам закон не уточняет, что конкретно считать персональными данными. Как констатируют практикующие юристы, в решениях судов, в документах и разъяснениях Роскомнадзора (РКН) довольно широко трактуется это понятие. «Принято считать, что персональные данные – фото в паспорте, фамилия, имя, отчество, дата рождения. А Роскомнадзор считает, что это не персональные данные, их разглашение нарушением не является», – заметил адвокат, кандидат юридических наук, старший преподаватель РАНХиГС Андрей Некрасов.

Так, например, Роскомнадзор пояснил, что «образовательное учреждение вправе без согласия на обработку персональных данных размещать на своем официальном сайте» ФИО педагогов. При этом, с точки зрения РКН, комбинация фамилии-имени-отчества с контактным телефоном или e-mail уже являются персональными данными.

Судебная практика допускает еще большее разнообразие трактовок. Так, например, Мосгорсуд в своем решении от 10 ноября 2016 года, по которому в России была заблокирована соцсеть LinkedIn, постановил: персональными данными признаны файлы cookies с компьютеров пользователей (эти файлы содержат информацию, которую пользователь передает сайтам при их посещении). Cookies упомянули наряду с ФИО и адресами электронной почты. Соцсеть заблокировали именно из-за того, что упомянутые данные оказываются в открытом доступе.

А петербургский 13-й апелляционный суд в постановлении от 1 июля того же 2016 года признал персональными данными ID пользователя.

По мнению доктора юридических наук Виталия Вехова, из всего многообразия практики РКН и судов можно сделать такой вывод: сами ФИО и дата рождения не являются персональными данными, так как могут полностью совпадать сразу у нескольких людей. «А вот место жительства, дополнительно к ФИО и дате рождения, позволяет идентифицировать конкретного человека, потому это является персональными данными. Либо номер и серия паспорта, которые являются индивидуальными, или же идентификационный номер налогоплательщика (ИНН) с расшифровкой и так далее», – указал Вехов.

При этом в российском законодательстве о персональных данных остается довольно много «серых зон», считает Некрасов. «Например, контекстную рекламу в соцсетях, основанную на рекомендательной системе, нельзя считать незаконным обращением с персональными данными. В России данную область никто не регулировал до сих пор», – отметил юрист. В самом деле, лишь сейчас законодатели обратили внимание на то, что рекомендательные системы онлайн-площадок (например, Facebook* и Instagram*) используют персональные данные для того, чтобы навязать определенный тип поведения или услугу.

«С моей точки зрения, в России существует достаточно прогрессивное законодательство защиты персональных данных», – полагает Некрасов. Добавим, что в конце декабря президент Владимир Путин подписал закон, который дает гражданам право обратиться к любому оператору персональных данных с требованием удалить личные сведения из общего доступа без доказывания факта неправомерной обработки этих данных. При этом, констатирует юрист, базовому законодательству о персональных данных недостает ясности. «Также отсутствует адекватный орган или руководство органа, который бы осуществлял компетентный и правильный надзор за соблюдением прав граждан в области использования персональных данных», – говорит юрист.

В качестве примера отсутствия контроля Некрасов привел скандальную историю, которую в 2018 году описал «Коммерсант» – утверждалось, на компьютерах общего доступа в нескольких многофункциональных центрах (МФЦ) Москвы было обнаружено множество скан-копий паспортов, СНИЛС, номеров телефонов и банковских счетов, к которым мог получить доступ любой желающий. Роскомнадзор, впрочем, тогда сообщил, что «подтверждений несоблюдения МФЦ требований закона о персональных данных нет».

* Организация (организации) ликвидированы или их деятельность запрещена в РФ