четверг, 7 февраля 2019 г.

ИНН не персональные данные. РКН против!


продолжение истории с отнесением ИНН к персональным данным.

    Получил официальный ответ от РКН на свой запрос
 "  Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) рассмотрела Ваше обращение от 27.12.2018 № 02-11-22159 и сообщает, что федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных согласно пункту 1 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 № 418, является Министерство связи и массовых коммуникаций Российской Федерации. 
     Вместе с тем, полагаем возможным сообщить следующее.
     В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 г. 
№ 152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    Принимая во внимание, что идентификационный номер налогоплательщика (ИНН) является информацией, относящейся к конкретному физическому лицу, полагаем, что указанные сведения могут быть отнесены к персональным данным.
     Указанные выводы также подтверждаются Апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747, постановлением Девятого арбитражного апелляционного суда от 02.04.2015 № 09АП-7673/2015, Апелляционным определением Новосибирского областного суда от 04.07.2017 по делу № 33-6394/2017."

     РКН не смущает, что налогоплательщиком может быть и юридическое лицо, что определить по ИНН конкретного физического лица может только владелец базы ФНС.
     Трактовка термина "персональные данные" в смысле "относится к конкретному физическому лицу" позволяет отнести к ПДн очень широкий спектр данных - номер доверенности, номер приказа, номер бланка ж/д или авибилета, номер денежной банкноты, номер абонемента, номер талона на прием к врачу и т.д.
     Мы все живем в социуме. Мы постоянно обмениваемся информацией, которая относится  к нам. В этом весь смысл общественных отношений.
     Подобные ответы от РКН разместил в Фейсбук Максим Кирпо, замечу что тексты ответов разные  и"не под копирку", но смысл один и тот же.





* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

22 комментария:

  1. После того, как из определения персональных данных "уехало" требование об идентификации субъекта, такие ответы РКН можно считать нормой.
    На публичных мероприятиях представители РКН (особенно, Юрий Контемиров) всегда занимают позицию, что в 152-ФЗ вижу, то и говорю: написано "ответственный", значит должен быть один ответственный, не более. Самое печальное в том, что поприкать за это РКН нельзя, они в точности следуют букве закона.
    Осмелюсь предположить, что готовя Вам ответ они понимали некоторую абсурдность, но не могли поступить иначе: закон есть закон. Если бы я сейчас проходил службу в РКН и мне было бы поручено подготовить такой ответ, то я писал бы тоже самое.

    Получается, что если некую комбинацию цифр обозвать ИНН, то она станет ПДн, и иди потом доказывай, что это не так...

    ОтветитьУдалить
  2. Для 152-фз и 187-фз есть одна общая недоработка, которая создает самую большую проблему для оператора/субьекта КИИ. Не указан орган с полномочиями по толкованию определений защищаемых сущностей из законов. И ФСТЭК и РКН отвечают на запросы организаций одинаково. Право у нас не прецедентное. Каждой организации получать ответы на свои вопросы в суде?

    ОтветитьУдалить
  3. И определения в законах написаны так широко, что для 152-фз усугубляется необходимостью соответствовать европейским нормам.

    ОтветитьУдалить
    Ответы
    1. Да, с определением ПДн в 152-ФЗ, скорее всего, делать ничего не будут, так как оно соответствует международному праву. Однако я где-то слышал, что РКН хочет разработать перечень того, что есть ПДн. Но полагаться на этот слух не стоит.

      А как теперь быть операторам ПДн? Есть ответ Минфина, где ИНН - не ПДн, и есть ответ Вам от РКН, что ИНН - ПДн.

      Удалить
    2. Прочитайте внимательно ответ РКН. Там, в качестве регуляторов указаны Минкомсвязь и РКН. Для банков регулятор - Центробанк РФ, а вот Минфин в регуляторах по вопросу ПДн ни в одном НПА не числится, так что Мнение Минфина - это сугубо "личное" мнение Минфина.

      Удалить
    3. Да это все понятно. Вопрос был риторическим. Что рядовых правоприменителей Закона вводят в заблуждение.
      Здесь в блоге раньше было обсуждение и того разъяснения Минфина (https://valerykomarov.blogspot.com/2018/12/blog-post_26.html), где я об этом в первом комментарии и говорил, что это ведомство немножко не регулятор этой деятельности;)

      Удалить
  4. Алексей, РКН скорее движется "от обратного". В сторону "деперсонализированных данных". Раз не получается конкретно определить сущность ПДн, будут определять сущность "не ПДн". И дальше по принципу, раз это указано в "не ПДн", значит это "ПДн".

    ОтветитьУдалить
  5. Игорь, Минфин создатель ИНН. Генерирует его Минфин. И только Минфин имеет право классифицировать созданную информацию, используя признаки из законодательства РФ. Так это работает с ГТ, КТ, государственным информационным ресурсом и всем остальным. Так как, номер присваивается записи в журнале и относится к налогоплательщику, то никакого субъекта ПДн вообще при это нет. РКН вообще не регулятор.

    ОтветитьУдалить
  6. РКН это контролирующий орган, осуществляющий ТОЛЬКО государственный контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов. И больше ничего. Именно по этому у РКН "рекомендации операторам ПДн", а не Приказы, как у ФСТЭК или ФСБ. И указывать Минфину, что ИНН это ПДн у РКН никаких прав нет. А вот операторам ПДн не позавидуешь, они то ИНН получают от граждан и проверке РКН ситуация не ахти.Здесь уже от юристов оператора сильно все зависит. Вполне можно в суде отбиваться.

    ОтветитьУдалить
  7. У меня все больше закрепляется мнение, что ИНН (и другая подобная циферно-номерная информация) в разных ситуациях может быть и ПДн, и не ПДн. Например, если заранее известно, что эти сведения прямо или косвенно относятся к каком-либо лицу, то ПДн, если такой вводной нет, то нет. Возможно, Минфин просто генерирует некую цифровую комбинацию, и на этой стадии она действительно никак не является ПДн. Потом эта комбинация передаётся в ФНС, где ее соотносят с конкретным лицом. И в этот момент данный номер становится ПДн. Но я могу ошибаться, всей кухни не знаю.

    ОтветитьУдалить
  8. ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в ЕГРН (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в Едином государственном реестре налогоплательщиков.
    В ИНН закодирован ТОЛЬКО порядковый номер записи в реестре. И все. Физическому лицу просто сообщают, что его данные находятся в реестре под таким то порядковым номером и внес его такой то госорган. Это информация о записи, а не о человеке.

    ОтветитьУдалить
  9. Но в контексте действующего определения ПДн, эта информация должна быть не о субъекте ПДн (человеке), но должна просто относиться к субъекту ПДн. Поэтому я и предполагаю, что у ИНН могут быть стадии, когда он не относится к субъекту ПДн (тогда он не является ПДн), и когда он относится к субъекту ПДн (вот тогда эта информация и становится ПДн).
    Аналогично дело обстоит с серией и номером паспорта. Когда Госзнак (или какая там организация печатает и сшивает листы, на которых выколоты серия и номер) выпускает сию книжку, то ее уникальный номерок ещё не имеет отношения к человеку, поэтому и не есть ПДн. А вот подразделения по вопросам миграции МВД России производят соотношение этой информации с конкретным лицом, и в этот момент эти сведения становятся ПДн.

    ОтветитьУдалить
  10. Это издевательство над здравым смыслом. Тогда серия жд билета или банкноты то же оказывается пдн.Хотя к человеку не имеет вообще никакого отношения.

    ОтветитьУдалить
  11. Если информация не имеет отношения к человеку, то она не есть ПДн, исходя из самого определения ПДн, приведённого в 152-ФЗ.)))))

    Я бы сказал, что издеваться над здравым смыслом нас заставляет определение ПДн, в котором нет свойства идентификации субъекта ПДн.

    И, обращу внимание, я высказываю позицию, согласно которой одна и та же информация, в зависимости от дополнительных вводных данных, может быть как ПДн, так и не ПДн.

    ОтветитьУдалить
  12. Свойства идентификации человека заложено в термин "биометрические ПДн". А это отдельная категория ПДн. С которой аналогичная неопределенность.

    ОтветитьУдалить
  13. "И, обращу внимание, я высказываю позицию, согласно которой одна и та же информация, в зависимости от дополнительных вводных данных, может быть как ПДн, так и не ПДн." - а это и есть издевательство над здравым смыслом. Данные зависят от данных - жуть. При том, что ни ПДн не конкретизированы, ни дополнительные вводные данные. Закон о "нечто", что меняется по произвольному толкованию пространственно-временных воздействий. С 2006 года не можем решить.

    ОтветитьУдалить
    Ответы
    1. Ну посмотрите на эту ситуацию так.
      Информация такового вида:
      1. Иванов Иван Иванович, ИНН 123456789101, паспорт 12 34 567890.
      2. ИНН 123456789101; паспорт 12 34 567890.
      3. 123456789101; 12 34 567890.
      Разница есть?
      В первом случае видно, что данная информация прямо относится к субъекту ПДн.
      Во втором случае определить принадлежность информации конкретному субъекту ПДн невозможно без какой либо иной информации. Причем, может статься ситуация, что у этой информации и нет такого субъекта, так как этот ИНН никому еще не выдали и/или этот паспорт тоже никому не выписали.
      В третьем случае цифровой набор.

      А как по Вашему должен выглядеть здравый смысл в этой ситуации (я спрашиваю в общем про ситуацию, а не про приведенный выше пример)?

      Удалить
    2. 1. только фио относится к человеку
      2.ничего не относится к человеку
      3.ничего не относится к человеку
      Нет в законе никакого критерия, что кому то должно быть понятно о принадлежности обсуждаемых данных к человеку.
      Есть старый армейский анекдот:
      "— Иванов! — Я! — Петров! — Я! — Три тысячи тридцатый! — (Обиженно)Моя фамилия Зозо, товарищ прапорщик."
      Вы видите набор цифр и не считаете это пдн,а это имя человека. Причем, за счет его редкости, однозначно идентифицирующая субъект.

      Удалить
    3. В первом случае вся представленная информация относится к субъекту ПДн, поэтому в соответствии с определением ПДн, приведенном в в 152-ФЗ, эта информация будет ПДн.
      В остальных случаях мы (ну конкретно я) не могу однозначно сказать, что представленная информация относится к определенному или определяемому лицу, поэтому и говорить о том, что это ПДн тоже не могу.

      Анекдот этот знаю, но это очередная хохма над прапоршиками, которая высмеивает их глупость на почве неспособности отличать буквы от цифр. Но опять же, напомню, что действующее определение ПДн не содержит требования об идентификации субъекта ПДн (о чем, кстати, лично я жалею).

      Вы так и не ответили, как должен выглядеть здравый смысл в этой ситуации?

      Удалить
    4. Мы живем в союзном государстве и в РБ нет законодательства по Пдн. Страдают ли граждане РБ от этого? Я считаю, что нет. РФ пошла по пути подчинения своего суверенного законодательства европейскому. За 13 лет мы так и не смогли конкретизировать объекты защиты. Здравый смысл мне подсказывает, что не надо идиллизировать европейский подход к пдн как единственный верный.

      Удалить
  14. Относится ли последовательность цифр "9.58 100" к персональным данным? При том подходе, что меня пытаются убедить -являются. Вбиваю в поисковую систему и получаю кучу ссылок, что эти цифры относятся к спортсмену- усэйн болт.

    ОтветитьУдалить
  15. Вбиваем в яндекс "Москва 80 3:38,99", получаем однозначную идентификацию спортсмена - Стив Оветт. Что из приведенных данных относится к субъекту? Название города? Год? Или спортивный результат? Или все скопом будем совокупность относить к ПДн?

    ОтветитьУдалить