Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.
Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 7 июля 2017 г. N П11-15054-ОГ
О РАЗЪЯСНЕНИИ НОРМ ФЕДЕРАЛЬНОГО ЗАКОНОДАТЕЛЬСТВА
Министерство связи и массовых коммуникаций Российской Федерации (далее - Минкомсвязь России) в пределах своей компетенции рассмотрело обращение по вопросу разъяснения положений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и Федерального закона от 07.07.2003 N 126-ФЗ "О связи" (далее - Закон о связи) в свете принятого Федерального закона от 03.07.2016 N 290-ФЗ "О внесении изменений в Федеральный закон "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт" и отдельные законодательные акты Российской Федерации" и сообщает следующее.
В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".
Таким образом, абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.
Согласно пункту 3 статьи 3 Закона о персональных данных "обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных".
Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. При этом пунктами 2 - 11 части 1 статьи 6 Закона о персональных данных предусмотрены случаи, когда допускается обработка персональных данных без согласия субъекта персональных данных на их обработку.
К таким случаям, в частности, относится обработка персональных данных, "необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей" (пункт 2 части 1 статьи 6 Закона о персональных данных).
С учетом определения понятий "бланк строгой отчетности", "кассовый чек", "пользователь", "расчеты", установленных статьей 1.1 Федерального закона от 22.05.2003 N 54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа" (далее - Закон о ККТ), предусмотренная частью 2 статьи 1.2 Закона о ККТ обязанность пользователя при осуществлении расчета в случае предоставления покупателем (клиентом) пользователю до момента расчета абонентского номера либо адреса электронной почты направить кассовый чек или бланк строгой отчетности в электронной форме покупателю (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации покупателю (клиенту) в электронной форме на адрес электронной почты) означает осуществление и выполнение возложенных законодательством Российской Федерации на оператора персональных данных (пользователя в целях Закона о ККТ) функций, полномочий и обязанностей в соответствии с пунктом 2 части 1 статьи 6 Закона о персональных данных.
В соответствии с пунктом 1 статьи 53 Закона о связи "сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.
Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.
Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработку персональных данных абонента-гражданина третьим лицам.
В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется".
Одновременно сообщаем, что в соответствии с частью 1 статьи 24 Закона о персональных данных лица, виновные в нарушении требований Закона о персональных данных несут предусмотренную законодательством Российской Федерации ответственность, в том числе ответственность, предусмотренную статьей 13.11 Кодекса Российской Федерации об административных правонарушениях.
Обращаем Ваше внимание, что исходя из закрепленного пунктом 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 N 418, права Минкомсвязи России "давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства", настоящее письмо не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом. Данное письмо носит информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации о персональных данных.
Директор департамента
развития высоких технологий
Минкомсвязи России
С.Д.МИГРАНОВ