Является ли работа Telegram-бота и использование CDN трансграничной передачей персональных данных?

Question

Персональные данные. Оператор персональных данных. РКН. Всем здравствуйте, бродя по интернету никак не получил чётких ответов на свои вопросы, один ответ говорит "ДА", другой говорит "НЕТ". Аналогично и ИИ путается в этом. Суть в чём. У меня разрабатываются два интернет проекта, с абсолютно разной тематикой. И не ясно, как и что отправлять в РКН по поводу персональных данных и как их собирать. Важные подметки : - Оба проекта располагаются на Российском хостинг провайдере в локации "Россия". - Все базы данных этих проектов так-же располагаются на Российском хостинг провайдере и в локации "Россия" - Принадлежат гражданину РФ. Первый проект. Telegram-Bot. - Обычный Telegram бот, представим, что это узконаправленный Tinder. Для поиска "напарников" или же знакомых по интересам. Какие данные он собирает : 1. Выдуманный ник/Имя 2. Возраст 3. Проведенное время за навыком (например "Время игры в какую-то игру" 4. Картинка для анкеты 5. Контакт для связи (чтоб другие могли с ним связаться) (Никнейм Telegram/Discord/Вконтакте - на выбор пользователя) 6. Конкретные навыки пользователя (В каком-то хобби или чем либо, чтоб интересов было больше и совпадений) Процесс взаимодействия с ботом. Пользователь просматривает другие анкеты, в которых отображаются все пункты выше, кроме контактов для связи. Выбирает "Лайкнуть" или "Дизлайкнуть" человека. Если их интерес совпал, они могут общаться в боте через его встроенный чат или же сразу связаться друг с другом через контакты (в случае взаимного лайка - контакт раскрывается для этих пользователей). Так вот вопрос по этому проекту : - Это является трансграничной передачей персональных данных или нет? - Я могу что-то исключить, чтобы не считалось трансграничной передачей данных, если таково является? Проект второй. Файлообменник. Тут вероятно всего даже проще. Обычный сайт, который позволяет за определенную плату подключить тариф для хранения и распространения своих файлов. Файлы - любые фотографии и файлы формата .map/.card/.world Повторюсь, сайт, сервер, хранилище файлов и базы - находятся в РФ. Т.к пользователь может делиться своими файлами (позволяет брать прямую ссылку на скачивание) - я использую CDN для ускорения доставки контента пользователю, который будет скачивать этот файл. CDN планирую арендовать у Российской компании "ВКонтакте", а точнее VKCloud. Он предоставляет возможность подключить CDN, у которого узлы в РФ + 20 различных странах. Так вот вопрос по этому проекту : - Это является трансграничной передачей персональных данных или нет? По сути файлы обезличены, НО! РКН считает IP адреса - персональными данными, соответственно, мой домен имеет такой вид cdn.mydomain.app/file1.png для раздачи файла и чтобы перегнать с ближайшего узла (CDN). Значит соответсвенно, пользователь попадает на шлюзы VKCloud и может оставить на его сервере свой IP адрес, значит я осуществляю трансграничную передачу? Но эту ссылку ведь не я передал пользователю и иницировал это, темболее эти сервера под контролем VKCloud, я не имею доступов к их узлам и не повлияю на сохранность каких-либо логов на их узлах. Т.е выходит так, что клиент из РФ пользуется моим сервисом, хранит файлы, хочет поделиться с другом или сам скачать - и его IP адрес попадает на CDN сервер другой страны? И на выходе это траснграничка? Как тогда в целом сайты живут, когда у них повсеместно CDN подключен для быстрой загрузки из всего мира, пользователь же подключается и оставляет свой след на зарубежном сервере CDN?! - Файлы не хранят в себе ничего (он больше сделан для хранения и раздачи технических файлов и изображений)

Игорь Коваленко · Answer

Здравсвуйте! Тут необходимо сразу понимать, что если ФИО пользователя не указывается — данные сведения не являются персональными данными, поскольку не позволяют идентифицировать того или иного человека (Апелляционное определение Курганского областного суда от 7 сентября 2017 г. по делу N 33-2984/2017). Таким образом, по смыслу указанных положений закона к персональным данным лица следует относить прежде всего, его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, а также другую информацию, п ри которой возможно идентифицировать конкретное лицо. Соответственно, если данные сведения не относятся к персональным данным, то о трансграничной обработке персональных данных также идти речь не может. Согласно ст. 3 ФЗ «О персональных данных» к трансграничной передаче ПД относится передача данных сведений на территорию иностранного государства, иностранному физ лицу или юр лицу. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Исходя из Вашего вопроса не следует что: 1. Данные сведения являются ПД. 2. Что они передаются на территорию иностранного государства. По второму вопросу. Т.е выходит так, что клиент из РФ пользуется моим сервисом, хранит файлы, хочет поделиться с другом или сам скачать — и его IP адрес попадает на CDN сервер другой страны? И на выходе это траснграничка? Нет, не совсем так. IP адрес, адрес электронной почты и иные сведения, о которых Вами указаны сам по себе также не являются персональными данными, поскольку не обладают признаками неизменности (Постановление Арбитражного суда Московского округа от 30 марта 2023 г. N Ф05-4354/23 по делу N А40-139096/2022). Если бы он был размещен с ФИО (причем с ФИО клиента, который получает доступ к этим базам данным, или сведениям) — да, это были бы ПД. Более того, суды обоснованно указали, что адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту. НО! РКН считает IP адреса — персональными данными, соответственно, мой домен имеет такой вид cdn.mydomain.app/file1.png Как и пояснил выше, даже если и допустить что IP адрес «статический», то есть — неизменный, но не привязан к ФИО он не может быть ПД. Кроме того, при доступе к серверу, если я верно понимаю, клиенты также не вводят свой ФИО. Если так — то это в принципе не может попадать под формулировку «обработка персональных данных» (ст. 3 ФЗ «О персональных данных»). обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Юрий Колковский · Answer

Какие данные он собирает: 1. Выдуманный ник/Имя 2. Возраст 3. Проведенное время за навыком (например «Время игры в какую-то игру» 4. Картинка для анкеты 5. Контакт для связи (чтоб другие могли с ним связаться) (Никнейм Telegram/Discord/Вконтакте — на выбор пользователя) 6. Конкретные навыки пользователя (В каком-то хобби или чем либо, чтоб интересов было больше и совпадений) Здравствуйте. Исходя из самого определения понятия персональных данных, указанного в ст. 3 Закона о персональных данных явно усматривается, что перечисленные Вами сведения персональными данными не являются: 1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Можно ли при указанных Вами данных определить конкретного человека? Безусловно нет. Соответственно при таком составе данных нельзя говорить о том, что Вы собираете персональные данные. Регистрация на нем происходит по email + password. Это тоже не является персональными данными. Несмотря на то, что Минкомсвязи России в Письме от 07.07.2017 N П11-15054-ОГ указал что абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу, судебная практика исходит из того, что сам по себе адрес электронной почты не является персональными данными. Например в Постановлении Арбитражного суда Московского округа от 30.03.2023 N Ф05-4354/2023 прямо указано почему именно адрес электронной почты не может являться идентифицирующим: адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, так же, как и в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту. Таким образом, поскольку данные не являются персональными вопрос трансграничности и т.д. принципиального значения не имеет. Если Вам потребуется дополнительная консультация по этому вопросу и/или составление документов, либо возникнут иные правовые вопросы, Вы можете обратиться ко мне в чат за персональной консультацией.