Критерии отнесения сведений к персональным данным
Есть ли универсальные критерии определения сведений как персональных данных?
Современные законодательные акты, регламентирующие обработку персональных данных в различных странах, не устанавливают какие-либо четкие критерии, позволяющие классифицировать информацию в качестве персональных данных. Чаще всего основным критерием является возможность соотнести информацию с лицом, которое может быть идентифицировано, причём такая идентификация может осуществляться с использованием и любой другой доступной для Оператора информации.
Универсальным подходом для корректной классификации информации в качестве персональных данных является следующий сценарий: представим, что классифицируемый Оператором набор данных наряду с другой информацией, находящейся у Оператора попадает в руки мошенников или становится доступен неограниченному числу лиц в результате инцидента. Может ли какой-либо субъект персональных данных ощутить на себе последствия данного инцидента, такие как: формирование общественного мнения о нем, получение рекламы, вовлечение в мошеннические схемы и т.д.? Если ответ «да», то классифицируемая информация однозначно является персональными данными. Примеры:
- Опубликованная статья с историей болезни «самой известной прыгуньи с шестом из г. Волгограда» даже без упоминания ее имени однозначно будет содержать персональные данные. Общество уже обладает информацией, необходимой для идентификации субъекта персональных данных.
- Список электронных адресов членов клуба владельцев автомобилей Бентли, случайно попавший в сеть Интернет, будет признан базой, содержащей персональные данные, даже если в нем нет ничего, кроме самих адресов и факта отношения этих людей к клубу. Последствия - получение таргетированной рекламы, мошеннические действия, направленные на состоятельных людей.
- База данных пациентов клинического центра, в которой имена заменены на специально созданные идентификаторы (т.н. псевдонимы), считается базой, содержащей персональные данные, до тех пор, пока Оператор обладает таблицей соответствия псевдонимов и реальных идентификационных данных пациентов, так как в случае нарушения конфиденциальности обеих баз возможно сопоставление клинических данных с реальными пациентами, что приведёт к различным серьезным последствиям для них.
- База данных пациентов с редкими заболеваниями может считаться базой, содержащей персональные данные, даже если в ней будут отсутствовать любые идентификаторы (в т.ч. псевдонимы), как как совокупность данных о состоянии здоровья и, например, города проживания пациента вполне могут указывать на конкретного субъекта персональных данных.
Ответ подготовил Илья Пикулин (06.09.2020)