Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Согласно европейскому законодательству обезличенные данные персональными не являются, но только в том случае, если после обезличивания действительно нет возможности определить их принадлежность. Определить идентифицируемость субъекта по конкретным данным бывает непросто. В ряде случаев здесь приходится полагаться на субъективные мнения.
Эта статья, также как и предыдущие, опирается на европейское законодательство и продолжает рубрику “Как решаются вопросы персональных данных в цивилизованных странах“.
Согласно европейским директивам персональные данные – это любая информация, относящая к определенному или определяемому (идентифицируемому) на основании данной информации человеку. При этом для идентификации субъекта (установления того, к кому информация относится) оператором ПДн или любым другим человеком могут использоваться любые оправданные средства. “Оправданные” означает, что даже если у кого-то имеется потенциальная возможность идентифицировать субъекта по имеющимся данным, но однако маловероятно, что данная возможность будет использована (например, это неоправданно дорого или технически очень сложно реализуемо), то субъект признается неидентифицируемым по имеющимся данным, а эти данные не признаются персональными.
Из этого определения следует то, что один и тот же набор данных, обрабатываемый одной организацией, может рассматриваться как персональные данные, поскольку у этой организации есть возможность соотнести его с конкретным субъектом, но при передаче этих данных другой организации, у которой нет возможности идентифицировать субъекта, которому эти данные принадлежат, они перестают быть персональными данными.
Примером могут служить данные, собираемые во время переписи населения. Для Росстата, обрабатывающего и хранящего анкеты граждан, эти данные являются персональными, даже если они разнесены по разным базам данных, каждая из которых по-отдельности не позволяет идентифицировать субъекта. В то же время, когда эти данные передаются в исследовательские центры (при этом из них убирается информация, позволяющая идентифицировать субъекта, такая как ФИО и домашние адреса), эти данные перестают быть персональными, т.к. у ученых, производящих их обработку, нет возможности идентифицировать субъектов без помощи Росстата. Конечно, это будет так только при том условии, что в Росстате обеспечивается надежная защита этих данных и их утечка является маловероятной. Отсюда еще один вывод: возможность отнесения обезличенных данных к персональным зависит от степени защиты идентификационной информации, обеспечиваемой первичным оператором ПДн. Следовательно возможность отнесения данных к персональным зависит также и от времени, поскольку с течением времени условия функционирования ИСПДн могут изменяться, могут появляться новые угрозы и уязвимости и принимаемых защитных мер уже может оказаться недостаточно для обеспечения надлежащего уровня защиты. В этом случае обезличенные ранее данные, уже некорректно будет относить к обезличенным и они снова станут персональными.
Таким образом, возможность отнесения данных к обезличенным также зависит от нашей субъективной оценки уровня защищенности первичной идентификационной информации или от вероятности успешного восстановления такой информации, если она была уничтожена.
Comments (27)
Lake 05-03-2011 11:40
персональные данные
Персональные данные, даже обезличенные, являются персональными при любом раскладе. Невозможность по ним идентифицировать субъекта не снижает их персональность. Глупо говорить что обезличенный номер телефона ничейный, если он выдан конкретному человеку.
Александр Астахов 05-03-2011 11:51
обезличенные персональные данные
Мы здесь обсуждаем европейскую практику решения вопросов персональных данных, к которой мы в нашей стране неизбежно придем. Делаем мы это на базе официальных документов британского информационного комиссариата, содержащих, в частности, разъяснения по поводу обезличивания и отнесения тех или иных данных к персональным. Но и из теперешнего определения ПДн в ФЗ-152, которое в этой части совпадает с европейским, следует, что если данные не позволяют идентифицировать субъекта, то персональными такие данные не являются. Если по номеру телефона нельзя определить кому он принадлежит, то такие данные не являются персональными.
Alex 11-03-2011 11:54
сотовые компании и ПДн
Александр, а что если у меня есть просто номер телефона человека, который сам по себе не является персональными данными, однако, имея знакомых у сотового оператора ,я могу выяснить по этому номеру его владельца. Будут ли тогда написанные 10 цифр номера телефона в открытом доступе персональными данными?
Александр Астахов 11-03-2011 12:26
номер телефона – персональные данные?
Когда рассматриваются такие вырожденные случаи, как номер телефона без какой-либо дополнительной информации да еще в открытом доступе (не могу себе представить кому и для каких целей может понадобится обработка таких данных), то для того, чтобы определить являются ли такие данные персональными и подпадают ли они под действие законодательства о персональных данных, нужно анализировать весь контекст использования таких данных. Смысл законодательства о ПДн заключается в защите интересов конкретных физических лиц, которым эти данные принадлежат и на которые может повлиять обработка этих данных.
В частности, надо определить кто, при каких условиях, с какой целью, на каких основаниях и каким образом обрабатывает 10 цифр номера телефона и вместе с какой дополнительной информацией (дополнительная информация обязательно должна быть, иначе это не будет ничем отличаться от произвольного перебора любых номеров), может ли такая обработка затрагивать интересы конкретного физического лица, осуществляется ли такая обработка в личных или иных целях, если ли у обработчика (оператора ПДн) возможность идентифицировать конкретного владельца номера телефона (любым экономически оправданным способом) и т.д.
Только после этого можно четко ответить на следующие вопросы:
– являются ли указанные вами данные персональными
– каким образом и в какой степени обработка этих данных может затрагивать интересы субъекта
– подпадает ли такая обработка под действие законодательства о персональных данных
Alex 14-03-2011 10:55
Является ли публикация сотовых – нарушением 152 ФЗ?
Попробуем разобраться на примерах:
http://zvonki.octo.net/number.aspx/9037011111 — база данных всех номеров, однако явного указания на идентификацию владельца нет.
Опять же, например, пост в блоге с указанием сотовых телефонов
http://www.blog.bank24.ru/archives/3379
является нарушением?
Александр Астахов 14-03-2011 11:48
публикация сотовых
Первый указанный вами сайт является потенциально рисковым, с точки зрения законодательства о персональных данных, т.к. там цель обработки телефонных номеров – идентификация их владельцев. Если владельцы идентифицируемых номеров – физические лица, если их удастся идентифицировать через данный сайт и на этом сайте будет выложена какая-либо информация к ним относящаяся без их разрешения, то здесь будет очевидно нарушение законодательства. Представьте себе, что Семен Семеныч по ошибке и не в неудачное время набрал номер какого-то психа. Этот псих, воспользовавшись данным сайтом, вычислил домашний адрес Семен Семеныча и жестоко избил его. Нарушение прав Семен Семеныча на частную жизнь здесь очевидно.
Однако, пощелкав немного по указанному сайту, я персональных данных сходу там не обнаружил. Обсуждаемые там номера в основном принадлежат юридическим лицам и по определению не могут относится к персональным данным.
Будут ли владельцы этого сайта признаны оператором ПДн зависит от их официальной политики, содержащей формулировку целей обработки данных, и модераторов данного сайта. Если цель – установление организаций, занимающихся телефонным спамом, то к ПДн это отношения очевидно не имеет. В этом случае модераторы сайта должны следить за тем, чтобы там не появилась информация о конкретных физических лицах, позволяющая их идентифицировать.
Второй пример (список телефонов в блоге) скорее всего не является персональными данными, т.к. по одному номеру сложно идентифицировать владельца. Тем более, что приводимые телефонные номера используются в мошеннической деятельности (по утверждению автора блога), а это значит, что установить их реальных владельцев, скорее всего, не сможет даже сотовый оператор. Какой идиот будет заниматься мошенничеством с личного телефона? Эти номера зарегистрированы по паленым картам и на несуществующих владельцев. Возможно у них вообще нет владельцев или они зарегистрированы на какие-нибудь организации.
Однако, если эти номера принадлежат конкретным физическим лицам, которых автор блога обвиняет в мошенничестве и установить данных лиц проще простого (учитывая реалии нашей страны), купив на рынке базу данных сотового оператора, тогда ситуация принимает другой оборот. У данных физических лиц появляются основания обращаться и в Роскомнадзор и в суд.
Alex 11-07-2013 12:21
По персональным данным
Уважаемый Александр!
Прошу помочь советом в нижеследующей ситуации:
Я в 2011 году размещал на одной из досок объявлений в интернете сообщение о продаже автомобиля с указанием Ф.И.О., номера телефона и адресом. Несколько дней назад обнаруживаю по запросу своего номера телефона в поиковике какой-то сайт, где написано, что я продавал авто и висит копия моего старого сообщения, соответственно с моими данными, и ссылкой на ту доску объявлений, где я размещал сообщение (и даже со скриншотом, т.е. сфоткано со страницы доски объявлений)
Вопрос: имеет ли право такие данные (тел, Ф.И.О., адрес, продаваемое авто) размещать сторонний сайт на своих страницах, без моего личного согласия, даже со ссылками на источник?
если не имеет, то какая может быть ответственность этого сайта? к кому именно ее предъявлять? к администратору сайта или к тому, кто разместил информацию?
если имеет право, то как можно повлиять на сайт, чтобы эти данные убрали?
P.S. Администраторы сайта отказываются удалять сообщение и предлагают сначала удалить мои данные из источника (т.е. с сайта объявлений)
Сайт, который разместил эти данные, находится в Германии. Получается даже если я обращусь в Роскомнадзор, и он вынесет предписание администрации сайта удалить данную информацию, то для них это ничего не значит? и Роскомнадзор ведь не сможет заблокировать эту страницу или сайт целиком?
Александр Астахов 12-07-2013 04:34
По персональным данным
Вопрос: имеет ли право такие данные (тел, Ф.И.О., адрес, продаваемое авто) размещать сторонний сайт на своих страницах, без моего личного согласия, даже со ссылками на источник?
на мой взгляд, имеет право, т.к. вы сами сделали свои данные общедоступными, предоставив к ним доступ для неограниченного круга лиц (см. ст. 6, п. 1, пп. 10 152-ФЗ).
если имеет право, то как можно повлиять на сайт, чтобы эти данные убрали?
Сначала надо обращаться с письменным заявлением к администрации сайта. Оператор ПДн обязан в срок, не превышающий 30 дней, с момента получения от вас заявления, прекратить обработку ваших ПДн. Если они этого не сделали, то нужно обращаться с письменным заявлением: в Роскомнадзор, в суд или в уполномоченный орган Германии по защите прав субъектов ПДн (там действуют примерно такие же законы как и у нас). Можно это делать в любой последовательности или одновременно. В судебном порядке можно требовать возмещения убытков и компенсации морального вреда.
У Роскомнадзора сейчас есть возможность заблокировать сайт, нарушающий законодательство РФ (российский или иностранный) по IP-адресу или по доменному имени.
Посетитель 31-03-2016 06:42
Персональные данные читателей в библиотеке
Здравствуйте, Александр!
Я являюсь сотрудником библиотеки и возник вопрос по обработке обезличенных ПД читателей. В ИСПДн библиотеки переносятся только ФИО, год рождения и номер читательского билета читателя (идентификатор). Материальный носитель – карточки читателей с полной информацией о читателях хранятся в сейфе.
Является ли представленный набор данных обезличенными персональными данными? Необходимо ли предпринимать меры по их защите согласно ФЗ № 152?
Александр Астахов 31-03-2016 06:10
Персональные данные читателей в библиотеке
Сам по себе набор данных “ФИО, год рождения и номер читательского билета” можно считать обезличенным, т.к. по нему нельзя однозначно идентифицировать субъекта. Однако необходимо отметить, что такой набор данных является обезличенным для любой третьей стороны, у которой нет доступа к карточкам читателей, но не для вас, как для обработчика этих данных. Вы обрабатываете эти данные в общем контексте с карточками читателей, а не как обезличенные. (Вы только храните эти данные в своей ИСПДн как обезличенные). Т.е. эти данные содержат существенную информацию о конкретных читателях.
Меры по защите ПДн в любом случае надо предпринимать, поскольку понятие безопасности ПДн, включает в себя не только конфиденциальность, но также и доступность и целостность этих данных.
Посетитель 30-01-2018 10:04
ПД или не ПД
Здравствуйте, помогите пожалуйста разобраться. Я физ.лицо, планирую создать ИП, и никак не могу разобраться будет ли моя деятельность попадать под определение “оператор ПД” или нет. И соответственно, нужно ли мне разрабатывать политику в области обработки ПД, а так же обеспечивать защиту ПД.
1. У меня будет сайт, на котором будут личные кабинеты контрагентов (юр. лиц). В личном кабинете юр. лица будут вносить контактную информацию: Наименование организации, адрес, раб. телефон, раб. e-mail, а так же, возможно, должность и ФИО контактного лица. В связи с этим вопрос, адрес, раб.телефон, раб. e-mail подпадают под определение персональных данных или нет? Эти же данные но в совокупности с должностью и ФИО сотрудника (контактного лица контрагента) будут являться персональными данными или нет? Если в поле раб. телефон контрагент внесет личный телефон сотрудника я автоматически становлюсь оператором персональных данных? Если такие же данные будет вносить не юр.лицо а ИП (Наименование ИП, раб. телефон) Будет ли эта информация являться персональными данными, а я оператором персональных данных?
2.Если на сайте для двухфактороной аутентификации (отправка кода из смс для подтверждения действий на сайте) используется номер мобильного телефона (т.е. номер у пользователя запаршивается, хранится в бд сайта у хостинг-провайдера на серверах расположеных в россии) , кроме номера телефона других данных не запрашиваются является ли такой номер ПД или обезличенными ПД или вообще не является ПД? И соответсвенно, нужно ли беспечивать конфиденциальность таких данных.
Посетитель 30-01-2018 10:06
ПД или не ПД (продолжение вопроса)
3. На мою электронныую почту расположенную на публичном почтовом сервере mail.ru приходят письма от контрагентов, письма обычно содержат подпись контактного лица, например “Менеджер по продажам Иванов Иван Иванович, тел. XXX-XX-XX”. Если я получаю такие письма, становлюсь ли я оператором персональных данных. А если те же самые письма приходят не на публичный сервер mail.ru а на почтовый сервер моего хостинга?
4. Часто документы контрагентов содержат информацию об ответсвенных лицах контрагента, например в счет-фактуре может быть подпись бугалтера, гл. бухгалтера с расшифровкой в виде Ф.И.О. а иногда и контактного телефона. Являются ли такие сведения персональными данными?
Александр Астахов 30-01-2018 04:33
ПД или не ПД (продолжение вопроса)
3. Становитесь в общем случае. Однако, если все ваши контрагенты будут писать вам с общего email и указывать общий телефон фирмы без доп. кода, тогда не становитесь. Мало ли в этой фирме может быть менеджеров по продажам Ивановых ИИ.
4. Являются, потому что главбух в фирме только один бывает.
Александр Астахов 30-01-2018 04:23
ПД или не ПД
Для проверки того, будет ли являться конкретный набор данных персональными данными или нет, задайте себе вопрос: Может ли данный набор относится сразу к нескольким различным субъектам? Если может, значит эти данные не позволяют определить конкретного субъекта и не являются персональными, т.к. характеризуют сразу группу субъектов, а не конкретного человека, либо являются обезличенными персональными данными.
Рабочий email + ФИО – это ПДн, т.к. относится к конкретному человеку в организации (если email не общий), а рабочий телефон + ФИО – это не ПДн, т.к. в организации могут работать несколько разных человек с одинаковыми ФИО и рабочим телефоном. Однако, если каждому сотруднику присваивается дополнительный телефонный код, тогда ФИО + раб. телефон + доп. код – это персональные данные.
И т.д. и т.п.
Т.е. в вашем случае:
1. Вы будете являться оператором ПДн.
2. Одни номер телефона не является ПДн, т.к. он формально может быть зарегистрирован как на физ. так и на юр. лицо, а владеть и пользоваться им может третье лицо.
Посетитель 31-01-2018 04:18
ПД или не ПД
Спасибо, Александр! У вас очень логичные объяснения, стало более менее понятно 🙂
Посетитель 31-01-2018 04:35
ПД или не ПД
Т.о. если я буду запрашивать только наименование организации и моб. телефон, я не буду являться оператором ПД?
Александр Астахов 01-02-2018 06:08
ПД или не ПД
Не будете.
Посетитель 31-01-2018 04:43
ПД или не ПД
И ещё, по поводу определения оператора…
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных,
А ТАК ЖЕ !!!! определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Можно ли это понимать так, что если я НЕ запрашиваю данные, их мне присылают без моего запроса, то я не являюсь оператором ПД?
Александр Астахов 01-02-2018 06:16
ПД или не ПД
Прочитайте ст. 5 152-ФЗ “Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных” и далее.
Не важно как вы получили ПДн, запрашивали вы их или нет. Если вы обрабатываете ПДн (например, собираете, храните и т.п.), то вы обязаны определить и цели обработки и методы и состав, т.е. либо становитесь оператором, либо удаляете эти данные сразу при получении.
Посетитель 02-02-2018 10:59
ПД или не ПД
Так ведь и удаление под обработку тоже попадает… 🙂 Хотя, конечно, если ничего не храниться то придраться ко мне сложнее 🙂
Александр Астахов 05-02-2018 03:32
ПД или не ПД
Это к юристам. Я казуистикой не увлекаюсь.
Посетитель 03-02-2018 10:17
Ответсвенность
У меня вопрос, а какая ответственность предусмотрена за нарушение или отсутствие технических мер по защите ПДн. Т.е. если с проверкой прийдет не Роскомнадзор, а ФСБ или ФСТЭК и обнаружит что всё неправильно?
Александр Астахов 05-02-2018 03:23
Ответсвенность
Административная ответственность прежде всего:
“Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния – влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц – от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от двадцати пяти тысяч до пятидесяти тысяч рублей”.
Подробнее:
http://iso27000.ru/blogi/al[…]eratorov-personalnyh-dannyh
Также в определенных случаях могут быть приняты решения о приостановке обработки ПДн или о дисквалификации руководителя организации.
Посетитель 05-02-2018 04:58
Запросы от субъектов ПД
Чем больше вчитываюсь в этот закон, тем больше вопросов возникает.. 🙁
Допустим, интернет-магазин, запрашивает в целях организации доставки ФИО, адрес и контактный телефон – это ПД. Запрашивать паспортные данные – нет необходимости, не нужны они, а если запросить, при проверке их посчитают излишними.
Затем в интернет-магазин приходит запрос от некого Иванова Ивана Ивановича с требованием предоставить информацию о том какие именно его ПД интернет-магазин обрабатывает. А у интернет-магазина таких Ивановых 20 штук. Кому попало чужие ПД отсылать – нельзя. А может эти данные вообще и не Иванов запрашивает, откуда я знаю? По обратному адресу в запросе? Тоже не всегда возможно определить, там может а/я прописан, или в БД не адрес, а пункт самовывоза указан. Вот если запрос содержит паспортные данные и бд магазина содержит паспортные данные, тогда сопоставить запрашивающего с конкретным Ивановым можно. Получается если мы не храним данные о паспорте то на запрос о ПД ответить не можем? Т.е. получается оператор ПД, должен в обязательном порядке запрашивать паспортные данные, что бы в последствии иметь возможность правильно отвечать на запросы??
Александр Астахов 05-02-2018 06:56
Запросы от субъектов ПД
Закон устанавливает каким образом субъект обращается к оператору ПДн:
“3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации”.
Если же оператор на основании сведений, предоставленных субъектом, не может определить принадлежат ли обрабатываемые данные этому субъекту или кому-то еще, т.е. не может идентифицировать субъекта ПДн, тогда на основании закона эти данные нельзя отнести к ПДн.
Посетитель 05-02-2018 10:17
Запросы от субъектов ПД
Остается надеяться, что суды такую аргументацию сочтут убедительной…
Александр Астахов 06-02-2018 12:40
Запросы от субъектов ПД
За суды никто не скажет. Это независимый институт.