Как решаются вопросы персональных данных в цивилизованных странах?

Поищем ответ на этот нетривиальный вопрос в библиотеке Британского Офиса Информационного Комиссара (звучит немного странно, но так уж это называется). Европейцы наломали копий в данном вопросе и выпустили весьма объемный документ под названием “Техническое руководство по определению того, что такое персональные данные” (Technical Guidance Note – Determining what is personal data).

В британском законе о защите данных (Data Protection Act 1998, далее – DPA) к “персональным данным” относят информацию, которая:

Первый пункт определяет “природу” информации (данные), которая определяется способами ее обработки (автоматизированные компьютерные системы и неавтоматизированные системы регистрации документов). Любая другая информация (не представленная в форме компьютерных данных или бумажных зарегистрированных документов) согласно DPA к данным отношения не имеет.

Второй пункт определяет “принадлежность” информации “определенному” субъекту, т.е. “персональный” характер данной информации. Информация носит персональный характер, если можно установить (не обязательно на основании только этой информации) к кому конкретно она относится, другими словами, если субъекта можно идентифицировать на основании данной информации и эта информация относится именно к нему.

Для того, чтобы определить относится ли конкретная совокупность данных к разряду “персональных данных” (на которые распространяется действие DPA), можно использовать восьми-шаговый алгоритм, заключающийся в ответах на ряд последовательных вопросах (как в службе помощи MS Windows):

1. Идентифицируемость субъекта

Может ли живой индивидуум быть идентифицирован (установлен, определен) на основании этих данных или этих данных и другой информации, находящейся во владении оператора ПДн, или которая может с достаточной вероятностью оказаться у оператора ПДн?

Ответ “Да” – переходим к следующему вопросу

Ответ “Нет” – эти данные не являются “персональными” данными

Идентифицируемость – это возможность отличить индивидуума от других членов группы (сообщества) (не путать с аутентификацией – подтверждением подлинности субъекта) . В большинстве случаев, ФИО и некоторой дополнительной информации достаточно, чтобы идентифицировать субъекта. ФИО – это общепринятое средство идентификации людей на бытовом уровне, но, к сожалению, одних ФИО недостаточно (поэтому, в частности, придуманы паспорта), т.к. существуют полные тезки, поэтому возможность идентифицировать кого-то по ФИО, зависит от контекста (от наличия некоторой дополнительной информации).

Например, “Степан Степаныч” – это однозначно не персональные данные, т.к. таких много на Руси и непонятно о ком конкретно идет речь, а вот “Степан Степаныч – владелец фирмы “Степаныч и партнеры” позволяет идентифицировать Степаныча, если только у “Степаныч и партнеры” среди владельцев не два и не три Степан Степаныча. В последнем случае для идентификации Степаныча потребуется дополнительная информация, например, номер личного телефона. Но и этого будет недостаточно, если у Степанычей один телефон на всех, тогда для идентификации конкретного Степаныча потребуется еще информация о нем и т.д. Отсюда становится понятно, что один и тот же набор данных в зависимости от контекста и от конкретных обстоятельств, может как относится к “персональным” данным, так и не относится к таковым.

Конечно, если вам неизвестно имя (ФИО) человека, это не означает, что вы не можете его идентифицировать. Например, многие соседи Степан Степаныча не знают его полного имени (и даже неполного, если Степаныч, скажем, москвич, живет инкогнито или просто неллюдим), однако это не мешает им его идентифицировать. Они могли бы его описать, например, следующим образом: “небольшой лысеватый человек, проживающий в квартире справа от меня и паркующий свой запорожец у нас под окнами”.  Это абстрактное описание, как ни странно, позволяет идентифицировать Степаныча, опять же если их не несколько одинаковых Степанычей, живущих в одной квартире или в одной машине. Отсюда следующий вывод: для идентификации субъекта необязательно наличие его ФИО, паспортных данных, номера социального страхования и прочих официальных данных о нем, т.к. человека можно идентифицировать по косвенным признакам.

Многие операторы ПДн увлекаются анонимизацией (обезличиванием) персональных данных с целью минимизации класса ИСПДн (см. “Миф о минимизации класса защищенности ИСПДн“) или вообще ухода из-под действия закона. Один из практикуемых подходов заключается в том, что из баз данных ИСПДн, используемых в организации, удаляется информация, позволяющая идентифицировать субъектов (чаще всего это их ФИО) и заменяется неким абстрактным идентификатором. Данный идентификатор вместе с ФИО и прочими данными, позволяющими однозначно идентифицировать субъекта, храниться в службе каталогов (например, в AD), которая и классифицируется как ИСПДн, все же прочие ИСПДн организации (по мнению оператора) вовсе ИСПДн и не являются (или относятся к четвертому классу согласно принятой на данный момент в РФ классификации, что по факту тоже самое).

Подобные “анонимизаторы” обманывают сами себя, т.к. то, чем они занимаются, с точки зрения развитой европейской судебной практики, это не обезличивание, а всего лишь разнесение персональных данных по нескольким базам данных. Подобные действия могут иметь смысл сами по себе (с точки зрения защиты и обработки ПДн), но, к сожалению, не позволяют обезличить данные. В этом случае европейские директивы признают субъекта идентифицируемым, если это можно сделать любыми доступными оператору или любому другому лицу способами. Очевидно, что оператор ПДн располагает и необходимыми полномочиями и техническими возможностями для определения того, кому пренадлежат обрабатываемые им данные, даже если они разнесены по разным базам данных. Например, банк, эмитировавший кредитную карту, сможет (по данным на карте) определить кому она принадлежит, независимо от того, как он хранит эти данные, вместе или по отдельности (в соответствии с требованиями PCI DSS) и как он обеспечивает защиту этих данных. Оператор сотовой связи по номеру телефона имеет возможность определить, кто является абонентом, хотя и не всегда и т.д.

В спорных ситуациях рекомендуется рассматривать все доступные способы идентификации субъекта по представленным данным и не ограничиваться средствами, доступными каждому обычному незаинтересованному человеку, а рассматривать также средства, которые скорее всего были бы использованы людьми, заинтересованными в идентификации (установлении личности) конкретного субъекта, такими как следственные органы, шпионы всех мастей, супруги, журналисты и т.д. Если установление личности человека по имеющимся данным возможно только теоретически, но практически сложно реализуемо (слишком (необоснованно) затратно), то такие данные не относятся к персональным.

Таким образом, возможность идентифицировать субъекта по определенным данным, а значит и возможность квалифицировать данные как “персональные”, за исключением вполне очевидных или общепринятых ситуаций, зависит от различных факторов и определяется, фактически, на основании, субъективных экспертных оценок и сложившейся практики. Например, с точки зрения европейской практики, ФИО в сочетании с номером телефона, местом работы или домашним адресом, в большинстве случаев, вполне достаточно для идентификации субъекта.

Как мы видим, вопрос идентифицируемости субъекта является достаточно сложным и неоднозначным даже в европейском законодательстве о персональных данных, которому уже больше 20 лет, что тут говорить о нашем ФЗ-152, которому не исполнилось еще и 4 лет и в котором понятие персональных данных, хотя и позаимствовано из европейского, но не совпадает с ним (см. “ФЗ-152 “О персональных данных” vs UK Data Protection Act 1998“).

PS

Сначала я рассчитывал привести руководство по определению “персональных данных” в одной статье, но вопрос оказался столь сложен, что я физически не успеваю этого сделать, ведь рассмотренный признак идентифицируемости субъекта не единственный и мы ответили пока только на один из восьми вопросов, необходимых для определения персональных данных! Поэтому ко второму вопросу о том, как определить, что данные “относятся к субъекту” мы перейдем в следующей публикации, из которой увидим, что этот вопрос еще более нетривиален, нежели предыдущий, и распадается он на целых 7 отдельных вопросов.

2. Как определить, что данные “относятся к субъекту”?

Относятся ли данные к идентифицируемому (определяемому на основе этих данных) живому субъекту, к его личной или семейной жизни, трудовой или профессиональной деятельности?

Ответ “Да” – данные являются “персональными данными”

Ответ “Нет” – данные не принадлежат к числу “персональных данных”

Ответ “Может быть” – переходим к следующему вопросу

На первый взгляд может показаться, что нет ничего проще, чем определить относятся и ли конкретные данные к человеку или нет, но, на самом деле, все не так просто. Понятие “относится к” в законодательстве не так прозрачно, как может показаться. Вот что говорится об этом в британском техническом руководстве: “Данные, позволяющие идентифицировать индивидуума, даже без использования его имени, могут являться персональными данным в случае, если они обрабатываются с целью узнать или записать что-либо об этом индивидууме, или если обработка этих данных может повлиять на данного индивидуума“. Таким образом, данные могут “относится к” субъекту несколькими различными способами. Далее рассмотрены наиболее распространенные варианты.

3.1 Данные с очевидностью содержат информацию о субъекте

Очевидно ли, что данные содержат информацию о конкретном субъекте?

Ответ “Да” – это “персональные данные”

Ответ “Нет” – переходим к следующему вопросу

Это самый простой случай, когда данные очевидно представляют собой информацию о конкретном человеке, например, история болезни, уголовное дело, личное дело и т.п. Это следует из содержания этих данных.

3.2 Неочевидно, что данные относятся к конкретному субъекту

Данные могут содержать информацию не о конкретном человеке, а о действиях, совершаемых данным человеком или о результатах этих действий, например, выписки с лицевых и с банковских счетов конкретного субъекта – это персональные данные, содержащие информацию о том, какие операции со своими счетами совершает данный субъект.

В случаях, когда не представляется очевидным, что данные содержат информацию о конкретном человеке, следующие вопросы помогают определить являются ли эти данные персональными:

Обрабатываются ли (или могли бы обрабатываться) эти данные с целью:

в отношении идентифицируемого индивидуума?

или

Можете ли вы узнать или записать что-либо об идентифицируемом индивидууме в результате случайных последствий обработки этих данных?

или

Может ли обработка этих данных оказать какое-либо воздействие или причинить ущерб идентифицируемому индивидууму?

Ответы на вопросы 4-8 помогут в этом разобраться.

4. Данные, связанные с субъектом

Связаны ли данные с субъектом таким образом, что из них можно получить конкретную информацию об этом субъекте?

Ответ “Да” – это персональные данные

Ответ “Нет” – переходим к следующему вопросу

Во многих случаях, данные сами по себе не являются персональными данными, но, в определенных ситуациях, они могут превращаться в персональные данные в том случае, если их можно связать с конкретным субъектом для того, чтобы получить о нем дополнительную информацию.

Например, данные о зарплате на конкретной должности, сами по себе, не являются персональными данными. Эти данные могут указываться, например, в описании конкретных вакансий и, в этом случае, они не являются персональными данными. Однако, когда те же данные о зарплате связаны с именем конкретного работника (например, когда вакансия была заполнена этим конкретным работником и только им), они становятся персональными данными, связанными с конкретным работником, занимающим данную должность.

5. Цель обработки

Используются ли данные для принятия решений (или оказыват влияние на действия), затрагивающих интересы конкретного субъекта?

Ответ “Да” – это персональные данные

Ответ “Нет” – переходим к следующему вопросу

5.1 Информация, оказывающая влияние на принятие решений в отношении субъекта

Существует много примеров, когда данные относят к субъекту на основании того, что эти данные связаны с ним и оказывают влияние на принятие решений (или совершение каких-либо действий) в отношении субъекта или оказывающих воздействие на него. Например, данные о состоянии счетов субъекта за телефонные переговоры или использование электричества позволяют определить сколько субъект будет должен заплатить за эти услуги.

В таких случаях важны контекст и цели обработки данных. Данные о квартире Степан Степаныча, сами по себя, не являются персональными данными, т.к. они о квартире, а не о Степаныче. Однако, во многих ситуациях, эти данные могут связываться со Степанычем, как собственником данной квартиры, и рассматриваться как персональные данные Степан Степаныча. Например, данные о несанкционированных перепланировках, которые Степаныч произвел у себя в квартире, могут использоваться для привлечения Степаныча к ответственности, а данные о расходе воды в квартире Степаныча могут использоваться для выставления ему счетов на оплату.

5.2 Обработка одних и тех же данных различными организациями в различных целях

Важно помнить о том, что один и тот же набор данных может являться персональными данными в одних руках и не являться персональными данными в других руках. Другими словами, квалификация данных в качестве персональных зависит от того, кто и с какой целью их обрабатывает. Например, на празднике два фотографа сделали две почти идентичные фотографии участников и сохранили их в электронной форме на компьютере. Первый фотограф – фото-журналист снимающий празднующую толпу для своей коллекции. Второй фотограф – сотрудник антитеррористического отдела, снимающий толпу с целью идентификации потенциальных террористов. Первая фотография не рассматривается в качестве персональных данных, поскольку она не используется для получения какой-либо информации о конкретном человеке. Вторая фотография используется для выявления подозреваемых, записи их действий и, в случае необходимости, принятия мер против них, поэтому она рассматриватеся как содержащая персональные данные.

Сотрудник антитеррористического отдела мог и не присутствовать на празднике. Фотографии с праздника могли быть запрошены следователем у фото-журналиста, а затем использованы в качестве доказательств по уголовному делу. В этом случае, данные которые, находясь у журналиста, не относились к персональным, попав в руки к следователя, становятся персональными данными. Вот как все непросто!

Вывод:

Один и тот же набор данных, находясь у одного оператора, использующего его для одних целей, может не являться персональными данными (не рассматриваться в качестве таковых), но, перейдя к другому оператору, использующему его для других целей (при этом связывающего его с конкретным субъектом), этот набор данных может становиться персональными данными и, соответственно, попадать под действие DPA.

В следующей и заключительной части данной темы “Что такое персональные данные” мы рассмотрим еще несколько неочевидных случаев, позволяющих квалифицировать информацию как персональные данные, в частности, случаи когда информация имеет биографическое значение или когда обработка информации может оказать влияние на конкретного субъекта, хотя напрямую к нему и не относится.

6. Биографическое значение

Имеют ли данные какое-либо биографическое значение в отношении субъекта?

Ответ “Да” – данные (скорее всего) являются персональными

Ответ “Нет” – переходим к следующему вопросу

Ответ “Может быть” – переходим к следующему вопросу

Важно помнить о том, что для определения того, являются ли данные персональными, не всегда есть необходимость в рассмотрении их “биографического значения”. Во многих случаях данные могут быть отнесены к персональным по той причине, что они содержат сведения, с очевидностью относящиеся к конкретному субъекту, либо они могут быть связаны с субъектом по причине того, что содержат информацию о его действиях и обрабатываются с целью принятия решений, затрагивающих интересы субъекта или совершения в отношении него каких-либо действий и т.п. “Биографическое значение” данные надо рассматривать только в том случае, если неочевидно, что данные содержат сведения о субъекте или связаны с ним.

Информация может иметь биографическое значение для субъекта, если она содержит сведения о его местонахождении или деятельности в определенный период времени. Например, если субъект указан в качестве участника в протоколе собрания, то данный протокол имеет биографическое значение для него, т.к. содержит сведения о его местонахождении в определенное время. Данный факт будет рассматриваться как персональные данные. Однако это не означает, что все содержимое протокола собрания является персональными данными его участников. Будут ли в данном протоколе какие-либо еще персональные данные об участниках, помимо факта их присутствия на собрании, зависит от того, на чем эти данные сфокусированы.

7. Концентрация информации на субъекте

Сфокусированы ли данные на субъекте как на основном предмете или они скорее сфокусированы на ком-то другом, на объекте, процессе или событии?

Ответ “Да” – это (скорее всего) персональные данные

Ответ “Нет” – переходим к следующему вопросу

Ответ “Может быть” – переходим к следующему вопросу

7.1 Протоколы собраний

Если на собрании обсуждалось соответствие конкретного субъекта занимаемой им должности (рассматривались его квалификация, личностные качества и производительность труда), то запись данной дискуссии является персональными данными обсуждаемого субъекта. Однако это не означает, что весь протокол собрания является персональными данными субъекта, т.к. на собрании могли обсуждаться также вопросы, к нему не относящиеся.

7.2 Информация не о субъектах, а об объектах

При рассмотрении вопроса о том, на чем сфокусирована информация, следует принимать во внимание цель обработки данной информации: записать сведения о субъекте или о каком-либо объекте. Например, может производиться запись информации о работе какого-либо устройства (к примеру, стиральной машины). Если информация записывается с целью мониторинга эффективности функционирования данного устройства, то ее вряд ли можно отнести к персональным данным. Однако, если информация записывается с целью мониторинга производительности труда оператора данного устройства (и от этого зависит размер его бонуса), то информация о работе устройства будет являться персональными данными оператора данного устройства.

Более того, информация может являться персональными данными, даже если она потенциально может быть использована для получения каких-либо сведений о субъекте, как в приводимом далее примере.

8. Обработка оказывающая влияние на субъекта

Могут ли данные оказать воздействие на субъекта в его личной, семейной, трудовой или профессиональной деятельности?

Ответ “Да” – это персональные данные

Ответ “Нет” – эти данные навряд ли можно отнести к персональным

8.1 Могут данные об объекте являться персональными данными субъекта, даже если оператор ПДн не использует в настоящее время эти данные для того, чтобы узнать, записать или принять какое-либо решение относительно субъекта?

Даже если данные не используются оператором ПДн для получения информации о субъекте, в том случае, если имеются основания полагать, что эти данные могут быть использованы подобным образом, то они являются персональными данными.

Например, транспортная компания может отслеживать местоположение и маршруты перемещения своих транспортных средств в логистических целях. Эти данные используются не для определения местоположения конкретных водителей, а только для определения местонахождения ближайшего к месту загрузки транспортного средства. Однако операторы системы слежения обычно знают какой водитель каким транспортным средством в настоящее время управляет и потенциально могут использовать эту информацию для установления местонахождения конкретного водителя. Если, скажем, жене одного из водителей очень надо будет его отыскать (а ему, например, это не очень надо), то она может попросить одного из операторов системы слежения предоставить ей соответствующую информацию. Поэтому данные о местонахождении транспортных средств могут являться персональными данными водителей этих транспортных средств.

Можно приводить еще сколько угодно примеров определения того, что является персональными данными (и британцы в своем техническом руководстве так и делают), но мы не будем этого делать, т.к. русские люди сметливые и давно уже уловили основную мысль:

Если данные позволяют (имеется реальная возможность) идентифицировать субъекта и их обработка может причинить какой-либо ущерб его интересам (даже если цель их обработки в этом не состоит), то эти данные, скорее всего, являются персональными, если не доказано иное.