Фамилия сама по себе может считаться персональными данными, если по ней можно прямо или косвенно идентифицировать человека. По определению из ст. 3 ФЗ-152, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
Когда фамилия — это ПДн:
- если в небольшом коллективе или в базе жильцов одного дома фамилия однозначно указывает на конкретное лицо;
- если фамилия используется вместе с должностью, номером квартиры, контактами или другими идентификаторами;
- если фамилия редкая и сама по себе позволяет установить личность.
Когда фамилия не будет считаться ПДн:
- если фамилия распространённая («Иванов», «Петров») и не связана с другими данными, позволяющими определить конкретного человека;
- если контекст не позволяет идентифицировать конкретного субъекта (например, просто список фамилий без указания организации или адреса).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация о прямо или косвенно определяемом лице.
- Письмо Роскомнадзора от 14.10.2013 № 08АП-2936 — разъясняет, что даже частичные сведения (фамилия, инициалы) могут быть признаны персональными данными, если позволяют идентифицировать человека.
- Ст. 13.11 КоАП РФ — устанавливает ответственность за нарушение правил обработки ПДн.
Позиция Роскомнадзора и практика
Роскомнадзор неоднократно подтверждал, что фамилия, даже без имени и отчества, может рассматриваться как персональные данные, если она используется в таком контексте, где идентификация конкретного лица возможна. Например, при публикации списков должников по ЖКХ с указанием только фамилий.
В судебной практике также встречались случаи, когда разглашение фамилий признавалось нарушением ФЗ-152, если по ним можно было определить конкретного человека.
Важный момент для компаний
Даже если у вас есть только фамилия, лучше рассматривать её как персональные данные и применять все требования ФЗ-152, особенно если сведения хранятся в совокупности с другой информацией.
Рекомендации и выводы
Фамилия без имени может считаться персональными данными, если позволяет идентифицировать личность. Чтобы исключить нарушения:
- Всегда оценивайте контекст обработки (в связке с другими данными фамилия почти всегда становится ПДн).
- При обработке фамилий включайте их в сферу регулирования ФЗ-152.
- Разработайте внутренние регламенты по работе с частичными данными.
- Включите такие случаи в комплект документов по ФЗ-152, чтобы быть готовыми к проверке.
Компания ICTech поможет вашей организации корректно классифицировать данные, в том числе частичные (фамилии, инициалы), и оформить пакет документов по ФЗ-152. Это защитит от претензий Роскомнадзора и судебных рисков.
