Що таке персональні дані за GDPR?
Центральною категорією в General Data Protection Regulation (GDPR/Регламент) є поняття «персональні дані». Незважаючи на те, що ця категорія зустрічається на кожному кроці, аналіз звернень наших клієнтів дозволяє стверджувати, що її зміст не завжди тлумачиться вірно.
Новітні підходи європейського законодавця засвідчують, що поняттям «персональні дані» охоплюється значно більше відомостей, ніж може здатися спочатку.
Що таке персональні дані за GDPR?
«Персональні дані» – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати.
Здавалося б, достатньо просте формулювання, тим не менш, його необхідно розглядати дуже уважно. WP29 для кращого розуміння пропонує поділяти визначення персональних даних на чотири змістовні блоки:
- «будь-яка інформація»;
- «що стосується»;
- «фізичної особи»;
- «ідентифіковано чи можна ідентифікувати».
Блок 1. «Будь-яка інформація»
Персональними даними можуть вважатися будь-які відомості про суб’єкта:
- об’єктивні (ім’я особи, номер телефону, адреса електронної пошти);
- суб’єктивні (суб’єктивні оцінки, думки стосовно конкретної особи).
На практиці суб’єктивні персональні дані активно використовуються у фінансовому секторі (наприклад, банк визначає рівень платоспроможності клієнта) або у трудових відносинах (оцінка ефективності роботи конкретного працівника (KPI).
Водночас необов’язково, щоб інформація була правдивою. Якщо у контролера даних є можливість ідентифікувати особу за відомостями, що не відповідають дійсності, вони все одно становлять персональні дані за GDPR.
Персональні дані можуть бути виражені у формі:
- літер (ім’я особи);
- чисел (ідентифікаційний код особи);
- графіки (малюнок (картина), що дозволяє ідентифікувати його автора);
- фото (фото в паспорті);
- звуку (запис телефонної розмови з працівником банку);
- відео (запис з камер відеоспостереження).
Поняття «персональні дані» охоплює об’єктивні та суб’єктивні відомості про особисте, сімейне чи публічне життя фізичної особи, що виражені у формі літер, чисел, графіки, фото, звуку чи відео, якщо вони дозволяють ідентифікувати таку особу.
Блок 2. «Що стосується»
Лише факту наявності відомостей недостатньо для визнання їх персональними даними, оскільки такі відомості обов’язково повинні стосуватися конкретного суб’єкта. Схематично дане правило можна відобразити наступним чином:
Іноді на практиці встановити наявність зв’язку між інформацією та конкретною фізичною особою достатньо складно, оскільки за різних умов одна й та ж інформація може розглядатися як персональні дані, так і не бути ними.
Наприклад, окремо взяте ім’я Іванов Іван навряд чи становитиме персональні дані, оскільки в Україні може бути велика кількість людей з таким ім’ям, а, отже, відсутня можливість ідентифікувати конкретну особу. Тим не менш, якщо у контролера буде інформація, що Іванов Іван проживає у конкретному містечку з невеликою кількістю жителів, то ймовірність того, що у цьому містечку є ще особа з аналогічним ім’ям значно нижча, а, отже, існує теоретична можливість ідентифікувати фізичну особу. За таких умов є всі підстави вважати ім’я персональними даними.
Для визнання інформації персональними даними обов’язковою є наявність зв’язку між такою інформацією та конкретною особою. Іноді зв’язок може бути непрямим.
Блок 3. «Фізична особа»
GDPR передбачає захист прав фізичних осіб з моменту народження. Іноді серед широкого загалу можна почути твердження, що GDPR захищає персональні дані громадян Європи. Таке висловлювання не відповідає дійсності, оскільки GDPR жодним чином не пов’язаний з громадянством чи місцем проживання фізичної особи.
Більш детально про те, у яких випадках застосовується GDPR можна почитати у нашій статті Територія застосування GDPR.
Персональні дані померлої особи
Інформація стосовно померлих осіб за загальним правилом не належить до персональних даних та не охороняється GDPR. Тим не менш, у контексті цього запитання доцільно розглянути декілька спеціальних випадків.
Наприклад, якщо контролеру невідомо, чи суб’єкт персональних даних живий, то він зобов’язаний обробляти персональні дані такого суб’єкта відповідно до вимог GDPR.
WP29 також зазначає, якщо інформація про померлих може одночасно стосуватися і живих, то така інформація становить персональні дані.
Наприклад, якщо померла особа хворіла на гемофілію (хвороба, зумовлена мутацією X-хромосоми, що передається генетично), то її діти в абсолютній більшості випадків також будуть хворіти на гемофілію. У цьому разі відомості про те, що померла особа хворіла на гемофілію, будуть вважатися персональними даними навіть після смерті особи.
Обробка персональних даних фізичних осіб з моменту народження та до смерті, а в окремих випадках – після смерті, підпадає від регулювання GDPR.
Персональні дані юридичної особи?
З визначення «персональних даних» стає зрозумілим, що ця категорія стосується саме відомостей про фізичну особу. Окрім того, обробка персональних даних юридичної особи не охоплюється GDPR відповідно до пункту 14 вступної частини Регламенту. На цьому можна було б закінчити, однак з GDPR не все так легко 🙂
Розглянемо випадок, за якого найменування юридичної особи походить від імені фізичної особи. Наприклад, найменування товариство з обмеженою відповідальністю «Іванов І. І.» може вважатися персональними даними у розумінні GDPR, за умови, що за таким найменуванням можна ідентифікувати конкретного Іванова І. І. Інший випадок: працівник юридичної особи використовує корпоративну пошту в особистих цілях. Наприклад, якщо ваш HR-спеціаліст зареєструється зі спільної електронної пошти HR-відділу (hr@company.com) у соціальній мережі під власним іменем, то корпоративна електронна пошта буде вважатися персональними даними HR-спеціаліста, а власник соціальної мережі буде виступати контролером таких даних.
Якщо відомості про юридичну особу пов’язані з фізичною особою та дозволяють її ідентифікувати, то така інформація буде становити персональні дані за GDPR.
Блок 4. «Ідентифіковано чи можна ідентифікувати»
Ідентифікована особа – особа, яка виділена серед інших членів групи.
Особа, яку можна ідентифікувати, – особа, яка ще не ідентифікована, але це можливо зробити, враховуючи існуючі технології, розумні витрати часу та фінансів, що необхідні контролеру на ідентифікацію.
Суб’єкта персональних даних може бути ідентифіковано:
- прямо (наприклад, за іменем або номером телефону);
- непрямо (наприклад, за посадою, віком, регіональним походженням тощо).
Різниця полягає у тому, що для непрямої ідентифікації за загальним правилом необхідна наявність одночасно кількох категорій відомостей про особу.
Наприклад, інформація про те, що вік якоїсь абстрактної особи становить 40 років не є персональними даними. Однак у поєднанні з відомостями, що ця особа обіймає посаду, приміром, міністра в уряді, то у сукупності така інформація забезпечує непряму ідентифікацію особи, а, отже, буде вважатися персональними даними (звісно, за умови, що не декілька міністрів одночасно мають такий вік).
Вирішення питання, чи є відомості про особу персональними даними за GDPR повністю залежить від можливості конкретного контролера ідентифікувати особу за наявною у нього інформацією, у тому числі за рахунок поєднання таких відомостей з інформацією, яку він може отримати від третіх осіб з урахуванням «розумної ймовірності».
Файли cookies та персональні дані
Як відомо, файли cookies, що завантажуються веб-ресурсом на локальний комп’ютер користувача, можуть збирати основну інформацію про його онлайн-поведінку (наприклад, інформацію про відвідані сторінки, мовні налаштування браузера, час та тривалість відвідування, переглянуті рекламні оголошення тощо).
У подальшому веб-ресурс отримує збережену файлами cookies інформацію та реагує відповідним чином (наприклад, на основі інформації про переглянуті рекламні оголошення демонструє більш релевантні для конкретного користувача товари).
Файли cookies безпосередньо не дозволяють ідентифікувати конкретну особу. Тим не менш, вони забезпечують ідентифікацію комп’ютера чи іншого пристрою (загалом – «заліза»). У цьому разі отримані дані можуть використовуватися для відслідковування онлайн поведінки «заліза» і, як наслідок, для формування профілю звичок його власника.
У справі Vidal-Hall v Google Inc. Апеляційний суд Англії дійшов висновку, що хоча файли cookies прямо не дозволяють ідентифікувати конкретну фізичну особу, однак вони забезпечують ідентифікацію його «заліза». Поєднавши відомості, що зібрані за допомогою файлів cookies, з іншими відомостями про власника профілю, контролер може ідентифікувати особу. Отже, у сучасному світі є обґрунтовані підстави прирівнювати конкретного користувача до «заліза», яким він користується.
Інформація, отримана за допомогою файлів cookies, в абсолютній більшості випадків буде вважатися персональними даними за GDPR.
ІР адреса як персональні дані
ІР адреса – це набір чисел, що присвоюється приладу, забезпечує його ідентифікацію та зв’язок з іншими приладами через мережу Інтернет.
ІР-адреса може бути двох основних типів:
- статична (прилад використовує одну ІР-адресу при кожному підключенні до мережі);
- динамічна (прилад отримує різні ІР-адреси при кожному підключенні до мережі).
Для провайдерів інтернет-послуг як статичні, так і динамічні ІР-адреси будуть вважатися персональними даними, оскільки такий провайдер в більшості випадків може пов’язати ІР-адресу з конкретним клієнтом.
Стосовно контролерів, які не є провайдерами інтернет-послуг, то необхідно розглядати два випадки залежно від типу ІР-адреси. Використовуючи статичну ІР-адресу, такі контролери завжди можуть створити профіль звичок її власника та розрізняти їх один від одного (за аналогією з файлами cookies).
Дане правило не може застосовуватися до динамічних ІР-адрес, що змінюються при кожному підключенні до мережі.
У справі Patrick Breyer v Bundesrepublik Deutschland Суд справедливості Європейського Союзу дійшов висновку, що динамічна ІР-адреса може вважатися персональними даними, оскільки особу можна ідентифікувати, поєднавши ІР-адресу з додатковою інформацією, наприклад, з даними інтернет-провайдера (відомостями про час підключення та сторінки, які відвідувалися з даної ІР-адреси).
Водночас додаткова інформація не обов’язково повинна зберігатися у контролера, достатньо існування «розумної ймовірності» її отримати. Контролер самостійно оцінює «розумну ймовірність» з урахування фінансових витрат, існуючих технологій та часу, що необхідні для ідентифікації особи.
Динамічна та статична ІР-адреси завжди будуть персональними даними в руках провайдера інтернет-послуг. Стосовно контролера, який не є провайдером інтернет-послуг, то статична ІР-адреса в абсолютній більшості випадків буде вважатися персональними даними, тимчасом як динамічна ІР-адреса становитиме персональні дані лише за умови існування у контролера «розумної ймовірності» ідентифікації її власника.
Висновки
Поняття «персональні дані» у розумінні GDPR охоплює значно більший обсяг інформації, ніж може здатися на перший погляд. Тому у контексті Регламенту завжди потрібно керуватися золотим правилом: «У разі наявності будь-яких сумнівів щодо того, чи є інформація персональними даними, – її необхідно вважати персональними даними та обробляти відповідно до вимог GDPR».