Все это — онлайн, с заботой о вас и по отличным ценам.
Постановка на учет в Роскомнадзор
Добрый день. Занимаемся оказанием консультаций, есть сайт, заключаем договоры с физическими лицами на оказание консультационных услуг. Согласно формам сайта пользователь может направить свое имя и телефон. Базу физлиц вести не планируем. Необходимо ли в данном случае разрабатывать локальные акты по вопросам персональных данных и вставать на учет как оператор персональных данных в Роскомнадзор?
Здравствуйте, Иван.
Согласно п. 1 ст. 3 Закона о персональных данных персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Данное определение практически идентично определению, установленному подп. «a» ст. 2 Конвенции 1981 года, согласно которому персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).
Однако, нельзя сказать, что практика идет по единому пути.
Есть точка зрения, что в качестве персональных данных можно рассматривать лишь такие сведения, которые не просто относятся к конкретному лицу, но которых при этом достаточно для того, чтобы установить его личность. По этой причине многие суды не рассматривают в качестве персональных данных человека номер его телефона, представляющий собой комбинацию цифр, структурированных в определенной последовательности. Такой подход можно встретить в следующих судебных актах: апелляционные определения Белгородского областного суда от 16.01.2020 N 33а-130/2020, Курганского областного суда от 07.09.2017 по делу N 33-2984/2017, Омского областного суда от 27.02.2019 по делу N 33-1370/2019, решения Октябрьского районного суда г. Белгорода от 12.09.2019 N 12-393/2019, Заельцовского районного суда города Новосибирска от 31.01.2017 по делу N 2-728/2017 и др.
В судебной практике есть и иной подход к рассматриваемому вопросу (см., например, Кассационное определение Восьмого кассационного суда общей юрисдикции от 27.02.2020 N 88А-4529/2020). Суды, занимающие такую позицию, как правило, не прибегают к подробному обсуждению вопроса, а просто констатируют отнесение телефонного номера к числу персональных данных.
Как мне представляется по сочетанию данных об имени (без фамилии и отчества) и номера телефона установить личность конкретного человека нельзя (по крайней мере законными способами). Но риск все равно остается. Вы вправе направить запрос в Роскомнадзор и получить персонализированный ответ по вашей ситуации. Если он будет положительный для вас, то это позволит Вам в случае претензий контролирующих органов отстаивать свою позицию.
В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч. 2 указанной статьи, при обработке персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Таким образом, если Вы собираете ПД без распространения и передачи третьим лицам, а используете только для заключения и исполнения договора, то уведомлять Роскомнадзор Вам не требуется.
А вот локальные акты нужно разрабатывать в любом случае, если ведется обработка ПД,
То есть ключевой вопрос у Вас — является ли сочетание Имя + № телефона ПД. А однозначного ответа на этот вопрос, к сожалению нет.
Добрый день, Иван!
С учетом описанных Вами обстоятельств, полагаю, что обязанность направлять уведомление в Роскомнадзор о начале обработки персональных данных в порядке, установленном ч. 1 ст. 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» у Вас отсутствует в силу п. 2 ч. 2 ст. 22 приведенного закона. Но только при условии, что персональные данные клиентов не предоставляются третьим лицам и используются исключительно в целях оказания услуг физическим лицам.
Косвенно данный вывод подтверждается правовой позицией из Постановления заместителя Председателя Верховного Суда РФ от 5 августа 2011 г. N 20-АД11-3:
Пункт 2 части 2 статьи 22 указанного Федерального закона определяет, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом.
Более подробная консультация требует детального анализа обстоятельств и может быть проведена в чате (зеленая плашка «Общаться в чате» рядом с фото юриста в его профиле). Ссылка на профиль опубликовавшего ответ юриста: pravoved.ru/lawyer/119900/.