Классифицирующие признаки персональных данных

(1) В европейской доктрине и законодательстве Позиция WP29 4/2007 о концепции персональных данных от 20 июня 2007 года (далее—Позиция WP29), и, как следствие, в российском рецепированном законодательстве, определение персональных данных умышленно дано широко.

Оно не имеет и никогда не будет иметь четких и однозначных критериев. Для чего ученые в области приватности, а затем и законодатели это сделали?

Дело в том, что квалификация данных в качестве персональных зависит не только от объективных характеристик самих этих данных, но и от субъективных факторов: а) специфики конкретного вида их обработки, б) целей и возможностей лица/лиц, выполняющих эту обработку и в) влияния и вероятных последствий для субъекта.

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону оператора персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес-трекера, чипа питомца, но и иные характеристики этих объектов и животных: наименование, цена, износ, номера, поломки, диагнозы, результаты анализов, родословные и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номеров, характеристик объектов и живых существ, относящихся к субъектам.

Стоит отметить, что используемый в российском определении персональных данных критерий “определенному или определяемому” — является синонимом европейского критерия «идентифицированному или идентифицируемому».

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

(4) Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными.

Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. Это и есть тот самый субъективный фактор, относящийся к поведению оператора или иного владельца персональных данных.

В этом месте некоторые операторы с радостью воскликнут, что у них нет намерения идентифицировать кого либо, что они всего лишь собирают безымянные идентификаторы, номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых операторов, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

(5) Как же выявить степень и вероятность того, что оператор или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия оператор или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая) цель и построение обработки; какие выгоды может извлечь оператор или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

Таким образом, в каждом случае квалификации каких-либо данных как персональных необходимо выявлять наличие возможности и прилагаемые ресурсы оператора для идентификации субъектов по таким данным.

Если возможность есть, или цель и контекст обработки предполагает идентификацию (определение, выделение из группы) субъекта, то данные являются персональными.

(6) Идентификатор — всегда является персональными данными, так как он однозначно позволяет оператору или любому третьему лицу, в чьем распоряжении может когда-либо оказаться идентификатор, выделить субъекта из группы, не имея при этом ФИО, паспортных данных, места жительства и иной дополнительной информации.

В частности, любые номера, контактные данные и индивидуализирующие характеристики принадлежащих субъекту объектов и живых существ являются идентификаторами и персональными данными этого субъекта. К примеру, серийный номер паспорта, диплома, СНИЛС, VIN номер автомобиля, компьютера, номер телефона, служебный телефон, автомобиля, адрес, место пребывания, номер в отеле, e-mail, IP адрес, номер чипа питомца, связка логин-пароль —идентификаторы и персональные данные субъекта.

Итак, даже при отсутствии ФИО субъекта у оператора и любого владельца данных все же есть возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Например, имея контактные данные, можно вступить в непосредственную коммуникацию с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, причинять беспокойство, вмешиваться в его работу и личную жизнь (нарушение приватности в форме вторжения согласно Таксономии приватности). Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные рассылки, спам.

Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта изменить контактные данные, или поменять оператора, по вине которого произошло нарушение его прав. Кроме того, неправомерное использование контактных данных может нарушить интересы третьих лиц, например семьи субъекта.

Надлежащая защита оператором персональных данных, в частности идентификаторов и контактных данных, обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет делать внешние коммуникации ожидаемыми и предсказуемыми, снижает нежелательную доступность субъекта для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и повышает его доверие к окружающему миру.

Учитывая все эти риски для приватности субъекта, крайне важно, чтобы операторы правильно квалифицировали персональные данные, которые они обрабатывают, добровольно и проактивно признавали свою роль оператора в правоотношениях с субъектами, применяли надлежащие меры защиты данных, уведомляли субъектов о себе и о должностном лице, ответственном за обработку персональных данных, раскрывали всю необходимую информацию, реализовывали права субъектов и были эмпатичны по отношению к субъектам.

Автор: Елена Себякина - консультант, эксперт в области приватности, член RPPA.
26.11.2020