Все это — онлайн, с заботой о вас и по отличным ценам.
Но если его опубликовать, то какие отношения возникают у нас с Роскомнадзором?
Ранее задавал вопрос насчёт правильности формы Согласия на обработку персональных данных (https://pravoved.ru/question/4605650/).
В ответах один из юристов указал, что раз мы собираем только email и имя, то эти данные не позволяют идентифицировать конкретное лицо, и соответственно согласие не нужно, и приводил решение, кажется, Верховного суда, который отклонил требование РКН считать email персональными данными.
На сайте нашей компании клиент указывает в форме обратной связи Имя и email.
Также мы как айти компания делаем клиентам сайты, на которых также в форме обратной связи собирается имя и email.
Также наша компания уже подала в Роскомнадзор уведомление, что мы оператор персональных данных.
Соответственно, вопросы такие:
1. Считается ли сочетание email и имени в форме обратной связи персональными данными (и соотв. нужно ли публиковать на сайте Согласие на обр. перс. данных)
2. В ситуации, когда в форме обратной связи человек напишет фио, хотя у него это не запрашивается, или например емэйл выглядит как ivanpetrov@mail, то будет ли это персональными данными?
3. Если вопрос неопределённый, то может быть легче просто опубликовать Согласие на сайте и не волноваться?
4. Но если его опубликовать, то какие отношения возникают у нас с Роскомнадзором?
**
Прикрепил к вопросу то, как выглядит форма обратной связи
- Скриншот 19-08-2025 121713.jpg
Здравствуйте. Федеральный закон N 152-ФЗ «О персональных данных», ст.3, п1. говорит о том что персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Если email содержит ФИО, номер телефона или другую уникальную информацию это персональные данные. Формально «имя + email» может считаться персональными данными, особенно если email выглядит как ivan.petrov@…. Если человек сам укажет ФИО или «говорящий» email, да, тогда это точно персональные данные.
На практике большинство компаний, чтобы не спорить с РКН публикуют Политику обработки ПД (обязательно, раз вы уведомились в РКН как оператор), рядом с формой обратной связи размещают галочку/ссылку на согласие с политикой.
Это минимизирует риски. Даже если РКН придёт с проверкой, у вас будет: «Согласие опубликовано, политика есть, уведомление подано». Публикация согласия на сайте ничего нового не создаёт, это лишь формальное подтверждение, что вы работаете по закону.
Удачи в Вашем бизнесе!
Добрый день.
Согласно ст. 3 ФЗ-152 «О персональных данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Соответственно если какие либо данные позволяют прямо или косвенно определить субъект персональных данных, то такие данные будут являться персональными данными.
Таким образом персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека. К ним к примеру относятся совокупность:
• ФИО,
• номер телефона,
• паспортные данные,
• электронная почта, и т.д.
Согласно все той же статьи 3, обработкой персональных данных является:
3) обработка персональных данных — любое действие… с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
В ответах один из юристов указал, что раз мы собираем только email и имя, то эти данные не позволяют идентифицировать конкретное лицо, и соответственно согласие не нужно, и приводил решение, кажется, Верховного суда, который отклонил требование РКН считать email персональными данными.
Действительно есть такое решение.
Адрес электронной почты или номер телефона сами по себе не являются персональными данными физического лица. Такой вывод сделан Верховным Судом РФ в определении от 21.07.2023 № 305-ЭС23-12160.
1. Считается ли сочетание email и имени в форме обратной связи персональными данными (и соотв. нужно ли публиковать на сайте Согласие на обр. перс. данных)
Спорный вопрос. С одной стороны просто эмайл не позволяет определить лицо, в тоже время наличие имени косвенно позволяет определить лицо. К тому же часто случаются ситуации когда клиент в поле имя может указать ФИО полностью, что уже явно является перс. данными.
2. В ситуации, когда в форме обратной связи человек напишет фио, хотя у него это не запрашивается, или например емэйл выглядит как ivanpetrov@mail, то будет ли это персональными данными?
Полагаю, что да. Отметил это выше. При этом в реальности на практике действительно часто встречаются ситуации когда в форме обратной связи клиент указывает например Фамилию и Имя.
3. Если вопрос неопределённый, то может быть легче просто опубликовать Согласие на сайте и не волноваться?
На фоне текущего ужесточения ответственности в области обработки ПДн, я все же придерживаюсь позиции, что это будет не лишним.
4. Но если его опубликовать, то какие отношения возникают у нас с Роскомнадзором?
Каких либо отношений у Вас с РКН не возникает. Поскольку Вы являетесь оператором и уведомление Вами уже подано Вам надлежит соблюдать требования ФЗ-152, указанные требования Вам надлежит соблюдать в любом случае поскольку Вы оператор и так или иначе занимаетесь обработкой ПДн (сотрудники, клиенты).
1. Считается ли сочетание email и имени в форме обратной связи персональными данными (и соотв. нужно ли публиковать на сайте Согласие на обр. перс. данных)
Здравствуйте.
Согласно ст. 3 Закона №152-ФЗ «О персональных данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Только по имени и телефону идентифицировать человека нельзя, ввиду этого сбор такого сочетания данных не может считаться сбором персональных данных.
2. В ситуации, когда в форме обратной связи человек напишет фио, хотя у него это не запрашивается, или например емэйл выглядит как ivanpetrov@mail, то будет ли это персональными данными?
Предположу, что в первом случае да, это может означать, что Вы таким образом собираете персональные данные и это потребует совершения всех необходимых действий. А вот что касается второго случая, то я считаю, что нет, в этом случае сбора персональных данных нет.
3. Если вопрос неопределённый, то может быть легче просто опубликовать Согласие на сайте и не волноваться?
4. Но если его опубликовать, то какие отношения возникают у нас с Роскомнадзором?
НУ собственно Вы конечно можете так сделать, но учтите, что этого одного документа недостаточно, поскольку потребует совершения всех необходимых действий, включая уведомление РКН, и создания других документов, включая Политику обработки, конфиденциальности и т.д.
Здравствуйте
Если к электронной почте идет фио лица- то да, это уже перс данные. Либо если электронная почта уже содержит в себе эти сведения.
На эту тему есть разъяснения.
Вопрос: Являются ли номер телефона и адрес электронной почты персональными данными?
(Консультация эксперта, Государственная инспекция труда в Нижегородской обл., 2025)
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ)).
Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ).
То есть по физическим лицам это все равно перс данные.
И если на сайте у вас есть такая форма для приема этих сведений- то формально должно быть и согласие на их обработку и принятие мер для их защиты. Либо изменить эту форму- чтобы были только передача почты, но без фио, либо убрать эту форму совсем, если вам эти данные не нужны.
2. В ситуации, когда в форме обратной связи человек напишет фио, хотя у него это не запрашивается, или например емэйл выглядит как ivanpetrov@mail, то будет ли это персональными данными?
да, будет перс данными
3. Если вопрос неопределённый, то может быть легче просто опубликовать Согласие на сайте и не волноваться?
если у вас форма предполагает и фио и почту- то вам нужно делать согласие на обработку и принимать меры для защиты, в том числе (это лишь одна из мер) — размещение политики обработки перс. данных.
4. Но если его опубликовать, то какие отношения возникают у нас с Роскомнадзором?
вы оператор перс данных и вам придется подавать уведомление для регистрации в реестре операторов перс данных
Подается уведомление в роскомнадзор по установленной форме.
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
+
Приказ Роскомнадзора от 28.10.2022 N 180
«Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»
Также наша компания уже подала в Роскомнадзор уведомление, что мы оператор персональных данных.
значит в реестре вы состоите уже и повторно вам не нужно ничего подавать в рамках ст. 22 фз 152, но нужно значит соблюдение требований о согласии и политике обработки данных- вы уже заявили, что их обрабатываете, поэтому сейчас нет смысла ставить вопрос, что вы их не обрабатываете или перс данных у вас нет
вы уже заявили роскомнадзору, что обрабатываете их, значит теперь момент с соблюдением требований именно для обработки.
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
Статья 19 закона отсылает уже к
Постановление Правительства РФ от 01.11.2012 N 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 11.02.2013 N 17
«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 18.02.2013 N 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСБ России от 10.07.2014 N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Приказ ФСБ России от 13.02.2023 N 77
«Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»
В рамках постановления правительства 1119 необходимо так же установить уровни защищенности таких данных -
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
И все же по здравому размышлению, я предположу, что такое предоставление данных по своей сути не является сбором ПД поскольку Вы в своей деятельности их не используете. Ну вот сообщил он их Вам — Вы же их не храните, а удаляете, верно?