Что такое персональные данные по GDPR?

Центральной категорией в General Data Protection Regulation (GDPR / Регламент) является понятие «персональные данные». Несмотря на то, что эта категория встречается на каждом шагу, анализ обращений наших клиентов позволяет утверждать, что ее содержание не всегда истолковывается верно.

Новейшие подходы европейского законодателя свидетельствуют, что понятием «персональные данные» охватывается значительно больше сведений, чем может показаться в начале.

Что такое персональные данные по GDPR?

«Персональные данные» — это любая информация, касающаяся физического лица, которое идентифицировано или которое можно идентифицировать.

Казалось бы, достаточно простая формулировка, тем не менее, ее необходимо рассматривать очень внимательно. WP29, для лучшего понимания вопроса, предлагает разделять определения персональных данных на четыре содержательных блока:

• «любая информация»;
• «что касается»;
• «физического лица»;
• «идентифицировано или которое можно идентифицировать».

Блок 1. «Любая информация»

Персональными данными могут считаться любые сведения о субъекте:

• объективные (имя лица, номер телефона, адрес электронной почты);
• субъективные (субъективные оценки, мнения относительно конкретного лица).

На практике субъективные персональные данные активно используются в финансовом секторе (например, банк определяет уровень платежеспособности клиента) или в трудовых отношениях (оценка эффективности работы конкретного работника (KPI).

В то же время необязательно, чтобы информация была правдивой. Если у контролера данных есть возможность идентифицировать лицо по сведениям, которые не соответствуют действительности, они все равно составляют персональные данные по GDPR.

Персональные данные могут быть выражены в форме:

• букв (имя человека);
• цифр (идентификационный код лица);
• графики (рисунок (картина), что позволяет идентифицировать его автора)
• фото (фото в паспорте);
• звука (запись телефонного разговора с работником банка);
• видео (запись с камер видеонаблюдения).

Понятие «персональные данные» охватывает объективные и субъективные сведения о личной, семейной или публичной жизни физического лица, выраженные в форме букв, цифр, графики, фото, звука или видео, если они позволяют идентифицировать такое лицо.

Блок 2. «Что касается»

Только факта наличия сведений недостаточно для признания их персональными данными, поскольку такие сведения обязательно должны касаться конкретного субъекта. Схематично данное правило можно отобразить следующим образом:

Иногда на практике установить наличие связи между информацией и конкретным физическим лицом достаточно сложно, поскольку при разных условиях одна и та же информация может рассматриваться как персональные данные, так и не быть ими.

Например, отдельно взятое имя Иванов Иван вряд ли составит персональные данные, поскольку в Украине может быть большое количество людей с таким именем, а, следовательно, отсутствует возможность идентифицировать конкретное лицо. Тем не менее, если у контролера будет информация, что Иванов Иван проживает в конкретном городе с небольшим количеством жителей, то вероятность того, что в этом городе есть еще лицо с аналогичным именем значительно ниже, а, следовательно, существует теоретическая возможность идентифицировать физическое лицо. При таких условиях есть все основания считать имя персональными данными.

Для признания информации персональными данными обязательным является наличие связи между такой информацией и конкретным лицом. Иногда связь может быть косвенной.

Блок 3. «Физическое лицо»

GDPR предусматривает защиту прав физических лиц с момента рождения. Иногда среди широкой общественности можно услышать утверждение, что GDPR защищает персональные данные граждан Европы. Такое высказывание не соответствует действительности, поскольку GDPR никоим образом не связан с гражданством или месту жительства физического лица.

Более подробно о том, в каких случаях применяется GDPR можно почитать в нашей статье Территория применения GDPR.

Персональные данные умершего

Информация об умерших по общему правилу не относится к персональным данным и не охраняется GDPR. Тем не менее, в контексте этого вопроса целесообразно рассмотреть несколько специальных случаев.

Например, если контроллеру неизвестно, жив ли субъект персональных данных, то он обязан обрабатывать персональные данные такого субъекта в соответствии с требованиями GDPR.

WP29 также отмечает, если информация об умерших может одновременно касаться и живых, то такая информация составляет персональные данные.

Например, если умерший болел гемофилией (болезнь, обусловленная мутацией X-хромосомы, которая передается генетически), то его дети в абсолютном большинстве случаев также будут болеть гемофилией. В этом случае, сведения о том, что умерший болел гемофилией, будут считаться персональными данными даже после смерти человека.

Обработка персональных данных физических лиц с момента рождения и до смерти, а в отдельных случаях — после смерти, подпадает от регулирования GDPR.

Персональные данные юридического лица?

Из определения «персональных данных» становится понятным, что эта категория касается именно сведений о физическом лице. Кроме того, обработка персональных данных юридического лица не охватывается GDPR соответствии с пунктом 14 вступительной части Регламента. На этом можно было бы закончить, но с GDPR не все так легко 🙂

Рассмотрим случай, при котором наименование юридического лица происходит от имени физического лица. Например, наименование общество с ограниченной ответственностью «Иванов И. И.» может считаться персональными данными в понимании GDPR, при условии, что за таким наименованием можно идентифицировать конкретного Иванова И. И. Другой случай: работник юридического лица использует корпоративную почту в личных целях. Например, если ваш HR-специалист зарегистрируется по совместной электронной почты HR-отдела (hr@company.com) в социальной сети под собственным именем, то корпоративная электронная почта будет считаться персональными данными HR-специалиста, а владелец социальной сети будет выступать контроллером таких данных .

Если сведения о юридическом лице связаны с физическим лицом и позволяющими ее идентифицировать, то такая информация будет составлять персональные данные по GDPR.

Блок 4. «Идентифицирован или можно идентифицировать»

Идентифицированное лицо — лицо, выделенное среди других членов группы.
Лицо, которое можно идентифицировать, — лицо, еще не идентифицированное, но это возможно сделать, учитывая существующие технологии, разумные затраты времени и финансов, которые необходимы контроллеру на идентификацию.

Субъект персональных данных может быть идентифицирован:

• прямо (например, по имени или номеру телефона)
• косвенно (например, по должности, возрасту, региональному происхождению и т.д.).

Разница заключается в том, что для косвенной идентификации по общему правилу необходимо наличие одновременно нескольких категорий сведений о личности.

Например, информация о том, что возраст некого абстрактного лица составляет 40 лет не является персональными данными.
Однако в сочетании со сведениями, этот человек занимает должность, например, министра в правительстве, то в совокупности такая информация обеспечивает косвенную идентификацию лица, а, следовательно, будет считаться персональными данными (конечно, при условии, что не несколько министров одновременно имеют такой возраст).

Решение вопроса, есть ли сведения о личности персональными данными за GDPR полностью зависит от возможности конкретного контроллера идентифицировать человека по имеющейся у него информации, в том числе за счет сочетания таких сведений с информацией, которую он может получить от третьих лиц с учетом вероятности .

Файлы cookies и персональные данные

Как известно, файлы cookies, загружаемые веб-ресурсом на компьютер пользователя, могут собирать основную информацию о его онлайн-поведении (например, информацию о посещенных страницах, языковые настройки браузера, время и продолжительность посещения, просмотренные рекламные объявления и т.д.).

В дальнейшем веб-ресурс получает сохраненную файлами cookies информацию и реагирует соответствующим образом (например, на основе информации о просмотренных рекламных объявлений демонстрирует более релевантные для конкретного пользователя товары).

Файлы cookies непосредственно не позволяют идентифицировать конкретное лицо. Тем не менее, они обеспечивают идентификацию компьютера или другого устройства (всего — «железа»). В этом случае, полученные данные могут использоваться для отслеживания онлайн поведения «железа» и, как следствие, для формирования профиля привычек его владельца.

В делеVidal-Hall v Google Inc. Апелляционный суд Англии пришел к выводу, что хотя файлы cookies прямо не позволяют идентифицировать конкретное физическое лицо, однако они обеспечивают идентификацию его «железа». Соединив сведения, собранные с помощью файлов cookies, с другими сведениями о владельце профиля, контроллер может идентифицировать личность. Итак, в современном мире есть обоснованные основания приравнивать конкретного пользователя к «железу», которым он пользуется.

Информация, полученная с помощью файлов cookies, в абсолютном большинстве случаев, будет считаться персональными данными за GDPR.

ІP-адрес как персональные данные

IP-адрес — это набор цифр, присваиваемый прибору, который обеспечивает его идентификацию и связь с другими устройствами через Интернет.

IP-адрес может быть двух основных типов:

• статический (прибор использует один IP-адрес при каждом подключении к сети);
• динамический (прибор получает различные IP-адреса при каждом подключении к сети).

Для провайдеров интернет-услуг как статические, так и динамические IP-адреса будут считаться персональными данными, поскольку такой провайдер в большинстве случаев может связать IP-адрес с конкретным клиентом.

Относительно контроллеров, которые не являются провайдерами интернет-услуг, то необходимо рассматривать два случая в зависимости от типа IP-адреса. Используя статический IP-адрес, такие контроллеры всегда могут создать профиль привычек ее владельца и различать их друг от друга (по аналогии с файлами cookies).

Данное правило не может применяться к динамическим IP-адресам, меняются при каждом подключении к сети.

В деле Patrick Breyer v Bundesrepublik Deutschland Суд справедливости Европейского Союза пришел к выводу, что динамический IP-адрес может считаться персональными данными, поскольку лицо можно идентифицировать, соединив IP-адрес с дополнительной информацией, например, данным интернет-провайдера (сведениями о подключении и страницы, которые посещались по данным IP-адреса).

В то же время дополнительная информация не обязательно должна храниться у контролера, достаточно существования «умной вероятности» ее получить. Контроллер самостоятельно оценивает «умную вероятность» с учетом финансовых затрат, существующих технологий и времени, необходимых для идентификации личности.

Динамический и статический IP-адрес всегда будет персональными данными в руках провайдера интернет-услуг. Относительно контроллера, который не является провайдером интернет-услуг, то статический IP-адрес в абсолютном большинстве случаев будет считаться персональными данными, в то время как динамический IP-адрес будет составлять персональные данные только при условии существования у контролера «умной вероятности» идентификации ее владельца.

Выводы

Понятие «персональные данные» в понимании GDPR охватывает значительно больший объем информации, чем может показаться на первый взгляд. Поэтому в контексте Регламента всегда нужно руководствоваться золотым правилом: «В случае наличия каких-либо сомнений относительно того, является ли информация персональными данными, — ее необходимо считать персональными данными и обрабатывать в соответствии с требованиями GDPR».