Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Являются ли номер телефона и адрес электронной почты персональными данными?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Помимо электронной почты, для связи все чаще используются SMS-сообщения, различные мессенджеры, такие как «Whatsapp», «Telegram», «Viber» и другие. По сути сообщения из СМС и мессенджеров идентичны перепискам по электронной почте, поэтому являются лишь разновидностью электронного сообщения. Следовательно, они также могут быть приняты в качестве доказательства при условии, что отвечают всем установленным критериям.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Другие виды электронной переписки — переписка в ватсапе (Whatsapp), телеграмм (Telegram) как доказательство в суде
Для приобщения переписки в SMS-сообщениях и мессенджерах в качестве доказательств по делу, подобно скриншотам, необходимо нотариальное заверение либо самостоятельное оформление: создание скриншота либо печать текста сообщений на бумаге. В последнем случае противоположная сторона часто выражает протест против принятия такого доказательства. Поэтому надежнее, заверить переписку у нотариуса — в этом случае оно будет точно соответствовать всем процессуальным требованиям и принимается судом без дополнительного доказывания.
Кроме того, требуется доказать принадлежность телефонного номера конкретному лицу, а также факт передачи сообщений. Для этого делается запрос оператору, если он зарегистрирован непосредственно на само лицо. На практике встречаются и другие случаи: когда номер телефона оформлен на организацию. При таких обстоятельствах принадлежность номера может устанавливаться по информации в договоре или на интернет-странице. Чтобы доказать факт передачи сообщения, нужно запрашивать детализацию сообщений у оператора услуг связи (интернет-провайдера).
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Минкомсвязи России разъяснены некоторые вопросы, касающиеся персональных данных
Сообщается, в частности, следующее:
абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных);
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку (обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных Федеральным законом «О персональных данных»);
обязанность пользователя (организации или ИП, применяющих ККТ при осуществлении расчетов) при осуществлении расчета в случае предоставления покупателем пользователю до момента расчета абонентского номера либо адреса электронной почты направить кассовый чек или бланк строгой отчетности в электронной форме покупателю на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации покупателю в электронной форме на адрес электронной почты) означает осуществление и выполнение возложенных законодательством на оператора персональных данных (пользователя) функций, полномочий и обязанностей в соответствии с Федеральным законом «О персональных данных»;
предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных федеральными законами;
обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи;
если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения или исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, или в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.
Отправка конфиденциальной информации с рабочей почты на личную — это разглашение коммерческой тайны
Она выявила, что сотрудница несколько раз отправляла с корпоративной почты на свой личный имейл информацию, использующуюся в производственной деятельности работодателя. В ее числе коммерческие предложения, калькулятор расчета потребления продуктов, планы работы с клиентами. Все эти сведения были включены в положение о коммерческой тайне как конфиденциальные.
Организация уволила нарушителя не по п. 3 ч. 7 ст. 77 ТК РФ с формулировкой «По инициативе работника», а по пп. «в» п. 6 ч.1 ст. 81 ТК РФ — за разглашение коммерческой тайны.
Женщина подала иск в суд, в котором просила признать расторжение трудовых отношений на указанном основании незаконным и изменить формулировку. Свои требования она обосновала тем, что пересылка данных между личной и рабочей почтой — это не разглашение коммерческой тайны. Однако суды первой и апелляционной инстанций встали на сторону работодателя.
Суды отметили, что запрет на отправку деловых электронных сообщений через стороннюю почтовую службу прописан в положении компании, с которым менеджер была ознакомлена. Тем не менее в нарушение данных фирме обязательств она совершила действия по распространению коммерческой тайны.
(Апелляционное Определение Московского городского суда от 18.11.2019 № 33-50688/2019).
Обмен между работниками секретными файлами по мессенджеру нарушает режим коммерческой тайны
По факту передачи информации посредством мессенджера работодатель провел служебное расследование и уволил мужчину по пп. «в» п. 6 ч.1 ст. 81 ТК РФ за разглашение коммерческой тайны.
Мужчина обратился в суд с иском к банку с требованием восстановить его на работе и взыскать средний заработок за время вынужденного прогула. По его мнению, неправомерные действия спровоцировали сотрудники, которым он отправил файлы. Более того, в данном случае вообще отсутствует разглашение сторонним лицам секретной информации, поскольку получатели документов — работники банка.
Суды двух инстанций не нашли оснований для удовлетворения требований истца. В основу своей позиции представители правосудия положили тот факт, что конфиденциальная информация была передана в распоряжение международной компании Viber Media, разместившей данные банка на своих серверах.
(Апелляционное Определение Верховного суда Республики Марий Эл от 23.05.2019 № 33-889/2019).
Какой перечень информации, составляющей коммерческую тайну на территории РФ, может являться образцом?
Если организация устанавливает режим КТ в отношении какой-либо информации, то необходимо создать внутренние положения по соблюдению этого режима с указанием мер ответственности за их нарушения, а также зафиксировать перечень составляющих коммерческую тайну сведений. Сотрудники, работающие с закрытой информацией, должны быть ознакомлены с правилами конфиденциальности и с перечнем составляющих коммерческую тайну сведений. В этот перечень может входить любая информация, которая имеет коммерческую ценность в данный момент или в будущем в связи с тем, что она не известна третьим лицам и у них нет свободного доступа на законном основании к этим данным.
Примерный перечень сведений, составляющих коммерческую тайну, может выглядеть таким образом:
О том, как утвердить режим КТ, читайте в статье «Положение о коммерческой тайне — образец 2021 года».
За разглашение коммерческой тайны может быть предусмотрена дисциплинарная, материальная и даже уголовная ответственность. Когда можно привлечь сотрудника к ответственности рассказывают эксперты КонсультантПлюс. Получите пробный доступ и бесплатно изучите материал.
Персональные данные по электронной почте
Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются — СКЗИ. К СКЗИ относятся:
- реализующие криптографические алгоритмы преобразования информации, аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»;
- аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
Ответственность за несоблюдение требований по защите персональных данных
В зависимости от обстоятельств в случае невыполнения требований к защите персональных данных медицинская организация или ее работники могут быть привлечены к дисциплинарной, гражданско-правовой, административной или даже уголовной ответственности. Рассмотрим наиболее вероятные случаи в таблице:
Норма | Описание нормы | Наказание | Комментарий |
---|---|---|---|
Уголовная ответственность (Уголовный кодекс РФ – УК РФ) | |||
ст. 137 УК РФ | Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ | Вплоть до лишения свободы на срок до 4-х лет с лишением права занимать медицинские должности или заниматься медицинской деятельностью на срок до 5-ти лет | Применительно к рассматриваемой ситуации ответственность по данной статье маловероятна и может наступить лишь при неправильном толковании УК РФ следственными органами. Во-первых, одна лишь пересылка врачебной тайны по электронным каналам связи не является их распространением. Согласно подпункту 5 статьи 3 ФЗ № 152, распространение ПД – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Поэтому одного лишь факта пересылки ПД по электронным каналам недостаточно – к ним должны получить доступ третьи лица. Во-вторых, обязательным условием привлечения к ответственности по данной статье является наличие прямого умысла на распространение персональных данных. Доказать такой умысел у медицинского работника достаточно сложно. Весомым доказательством в пользу его невиновности будет служить согласие на обработку персональных данных, в котором, как мы советовали, пациент соглашается на пересылку результатов исследований по электронной почте. Этот документ будет свидетельствовать, что медицинский работник действовал в интересах пациента и не ставил перед собой цель распространить ПД. |
Административная ответственность (Кодекс РФ об административных правонарушениях – КоАП РФ) | |||
ч. 6 ст. 13.12 КоАП РФ | Нарушение требований о защите информации | Наложение административного штрафа на граждан в размере от 500 до 1 000 рублей; на должностных лиц — от 1 000 до 2 000 рублей; на юридических лиц — от 10 000 до 15 000 рублей | Ответственность по данной статье может наступить, например, за невыполнение тех самых требований ЗИС.3. После обезличивания ПД, а также при выполнении иных наших рекомендаций риск привлечения к ответственности по данной статье крайне низкий (подробнее см. комментарии выше). |
ст. 13.14 КоАП РФ | Разглашение информации, доступ к которойограничен , лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей | Наложение административного штрафа на граждан в размере от 500 до 1 000 рублей; на должностных лиц — от 4 000 до 5 000 рублей | В данном случае ситуация аналогична той, которую мы рассмотрели в отношении статьи 137 УК РФ (см. выше) |
Заключать ли договор «по факсу»?
В судебной практике встречаются дела, в которых деловая переписка сторон (а иногда и заключение договоров) велась по факсимильной связи или электронной почте.
Судебно-арбитражная практика Федеральный арбитражный суд Московского округа в постановлении от 12.10.1999 по делу № КГ-А40/3285-99 не принял во внимание пояснения ответчика о том, что договор заключался в порядке ст. 434 ГК РФ путем обмена документами с помощью телефаксов. Возражения истца были таковы: номер факса, с которого якобы посылался подписанный истцом договор, истцу никогда не принадлежал и истец им никогда не пользовался. Поскольку нет доказательств, что документ действительно исходит от стороны по договору, нет и основания для признания договора заключенным в порядке, установленном п. 2 ст. 434 ГК РФ. |
Факсимильные документы
Когда договор заключается с помощью факса, он имеет силу, пока одна из сторон его не оспорит. Чтобы факсимильный документ мог служить доказательством, согласно гражданскому законодательству, нужна его идентификация. В реквизитах сторон договора фиксируются номер факса, адрес и название организаций. Те же данные должны присутствовать на факсимильной копии, это позволит определить время и отправителя документа.
Судебно-арбитражная практика Предметом рассмотрения в Международном коммерческом арбитражном суде при Торгово-промышленной палате РФ (далее – МКАС при ТПП РФ) стал вопрос о действительности изменений контракта, совершенных посредством сообщений по факсу. Доводы ответчика об их недействительности, поскольку они не были совершены в письменной форме, не были признаны обоснованными. Истец доказал, что: ● факсимильные сообщения об изменении условий поставки товара были выполнены на бланках московского представительства фирмы ответчика, подписаны представителем ответчика, являющимся тем же лицом, которое подписало с истцом основной контракт и чьи полномочия сторонами не оспариваются; ● в верхнем левом углу факсов имеется отбивка, содержащая название отправителя – фирмы ответчика и номер факса (который принадлежал представительству этой организации в Москве). Не имеет значения, какой факс использовал для передачи сообщений представитель ответчика (установленный в его офисе или в офисе представительства). Поэтому МКАС при ТПП РФ сделал вывод о том, что указанные документы действительны и направлялись именно ответчиком. |
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Виды ответственности работников за распространение охраняемой законом информации.
Ежедневно тысячи коммерческих организаций сталкиваются с необходимость защиты конфиденциальной информации.
Так, среди наиболее распространённых видов охраняемой законом информации можно выделить:
– персональные данные (Федеральный закон «О персональных данных»);
– коммерческая тайна (Федеральный закон «О коммерческой тайне»).
В данном материале мы поговорим об ответственности сотрудников допустивших распространение конфиденциальной информации в пользу 3-х лиц.
Действующее законодательство предусматривает 4 вида ответственности для сотрудников допустивших рассматриваемое правонарушение.
– дисциплинарная ответственность: замечание, выговор, увольнение (пп. «в», п. 6, ч.1, ст. 81 Трудового кодекса РФ);
– материальная ответственность: возмещение причиненного ущерба (ст. 238 Трудового кодекса РФ);
– административная ответственность: штраф до 5000 (ст. 13.14 КоАП РФ);
– уголовная ответственность: штраф до 200000, принудительные работы, лишение свободы сроком до 5 лет (ст. 183 УК РФ).
Наибольший интерес представляет собой привлечение сотрудника к дисциплинарной ответственности в виде увольнения по пп. «в», п. 6, ч.1, ст. 81 Трудового кодекса РФ.
Персональные данные в электронной почте
Без электронной почты трудно сегодня представить работу любого офиса предприятия, организации, органа власти или местного управления.
Организация, предоставившая этот сервис своим работникам, вовсе не собиралась обрабатывать чьи-то персданные, кроме собственных сотрудников, и, соответственно, уведомлять об этот кого-то ни было. Но вот беда. В подписях электронных писем, получаемых работниками компании, содержатся сведения об их корреспондентах – фамилии, имена и отчества, названия должностей, номера телефонов, адреса электронной почты, как минимум. А может быть, и что-то еще, то, что в терминах «приказа трех» о классификации ИСПДн именуется «персональными данными, позволяющими идентифицировать субъекта персональных данных и получить о нем дополнительную информацию».
Работодатель автоматически становится владельцем ИСПДн, к которой могут предъявляться очень жесткие с точки зрения технической защиты требования, хотя ни целей обработки таких данных он не определял, ни сведения эти у субъектов не запрашивал. Они сами их прислали и обременили его дополнительной ответственностью.
И еще вопрос без ответа. Если отправитель сообщает в электронном письме свои персональные данные и передает их по незащищенным каналам связи. Сам. По собственной воле и в собственном интересе. Вправе ли получатель их считать общедоступными? Закон молчит. Молчат и многочисленные нормативно-правовые акты и методические рекомендации, созданные после вступления его в силу.