E-mail, телефон, логин, пароль – персональные данные?
Очень многие компании беспокоит вопрос не подпадает ли их деятельность под закон о защите персональных данных?
Что относится к персональным данным?
Ответ на этот вопрос нужно искать в нескольких местах. Во-первых, можно заглянуть в Закон о персональных данных[1]. В нем указано, что персональные данные – это любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу. В законе упоминаются персональные данные специальных категорий, которыми являются данные о: расовой принадлежности, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Во-вторых можно обратиться к разъяснениям Роскомнадзора[2], где перечисляется информация, которая относится к персональным данным: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы.
В-третьих, можно также посмотреть на положения Конвенции Совета Европы о персональных данных[3], которую Россия ратифицировала в 2005 году. В ней указано, что персональные данные это любая информация об определенном или поддающемся определению физическом лице[4].
В большинстве случаев при регистрации на сайте пользователей просят указать их имя, адрес электронной почты, логин – пароль, иногда телефон. Поэтому возникает вопрос: происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет - мнения специалистов в этой области расходятся. Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Но глава Роскомнадзора Александр Жаров в одном из своих интервью высказался, что такие данные являются персональными только когда позволяют безошибочно идентифицировать личность, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными[5]. Без ответа остается вопрос относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Пожалуй, скорее относится, чем нет.
Наиболее радикальная позиция заключается в том, что и IP адреc относится к персональным данным, потому что с его помощью тоже можно определить лицо. Но по этому вопросу больше споров, чем ясности: с помощью IP-адреса можно иногда определить лишь точку доступа к сети, а иногда и лицо, которое выходило в Интернет.
Но по крайней мере хотя бы логин и пароль не относятся к персональным данным. Такую позицию высказал Александр Жаров[6]. В одном из своих интервью он пояснил, что Twitter не подпадает под действие Закона о персональных данных, потому что не обрабатывает персональные данные: По тому набору вопросов, которые компания задает пользователю при регистрации, мы делаем вывод, что компания не собирает личные данные[7]. Такой подход кажется логичным, поскольку с помощью этих данных (логина и пароля) не возможно определить лицо.
К сожалению, когда ответ на вопрос Что относится к персональным данным? не знают государственные органы, в ведении которых находится этот вопрос, то не стоит ожидать, что такой ответ существует. В разделе вопросов на сайте Минсвязи, касающемся персональных данных, на вопрос с просьбой уточнить понятие персональных данных в связи с тем, что в законе оно достаточно размыто, опубликован такой ответ Минсвязи: … определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым[8].
[1] Федеральный закон О персональных данных №152-ФЗ от 27.07.2006 г.
[2] П.1 статьи 3 Закона о персональных данных.
[3] Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Роскомнадзором 30.12.2014).
[4] Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера от 28.01.1981 г.
[5] http://lenta.ru/articles/2015/09/01/personaldata/
[6] Статья 2 (а) Конвенции.