(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице. В целях установления того, поддается ли идентификации физическое лицо, следует принять во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы контролёром или иным лицом в целях прямой или косвенной идентификации физического лица. При определении того, может ли быть данный способ использован с разумной вероятностью для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учесть технологии, доступные на момент обработки персональных данных, а равно технологический прогресс. Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.
(27) Настоящий Регламент не применяется к персональным данным умерших лиц. Государства-члены вправе принять нормы, касающиеся обработки персональных данных умерших лиц.
(28) Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных. Формальное использование «псевдонимизации» в настоящем Регламенте не подразумевает отказ от каких-либо иных мер защиты персональных данных.
(29) Для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, меры псевдонимизации, допускающие общий анализ, должны быть предусмотрены у одного и того же контролёра, в тех случаях, когда этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно. Контролёр, обрабатывающий персональные данные, должен назначить уполномоченных лиц из собственного состава.
(30) Физическим лицам могут быть приписаны интернет-идентификаторы (такие как IP-адреса, идентификаторы cookie), генерируемые их устройствами, приложениями, инструментами и протоколами, либо иные идентификаторы, например, теги радиочастотной идентификации RFID. Это может вызывать оставление следов, которые в сочетании с уникальными идентификаторами и иной, полученной серверами информацией, могут быть использованы для создания профилей и идентификации этих лиц.
(31) Государственные органы, которым, в соответствии с их правовыми обязанностями по осуществлению их официальной деятельности, раскрываются персональные данные (такие как налоговые и таможенные органы, органы финансовых расследований, самостоятельные административные органы или службы по делам финансового рынка, ответственные за регулирование и надзор на рынке ценных бумаг) не должны рассматриваться в качестве получателей данных, если они получают персональные данные, которые в соответствии с правом Союза или государства-члена, необходимы для проведения конкретного расследования в общих интересах. Запросы на раскрытие персональных данных, направляемые государственными органами, всегда должны быть в письменной форме и обоснованными, и при этом не должны носить регулярный характер и касаться всей системы данных, либо приводить к объединению систем данных. Обработка персональных данных такими государственными органами должна соответствовать применимым нормам по защите персональных данных в соответствии с целями обработки.
(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.
(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.
(34) Генетические данные должны пониматься как персональные данные, касающиеся наследственных или приобретенных генетических характеристик физического лица, которые получены в результате анализа биологического образца такого физического лица, в частности, анализ хромосом, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК), или в результате анализа других элементов, которые позволяют получить эквивалентную информацию.
(35) Персональные данные, касающиеся здоровья, должны включать в себя все данные о состоянии здоровья субъекта данных, которые раскрывают информацию о прошлом, текущем или будущем физическом или психическом состоянии здоровья субъекта данных. Сюда входит информация о физическом лице, собранная в процессе его регистрации для получения им или в процессе предоставления им услуг в области здравоохранения в соответствии с Директивой 95/46/ЕС Европейского Парламента и Совета [9]; номер, символ или знак, присвоенные физическому лицу для его однозначной идентификации для целей здравоохранения; информация, полученная в результате тестирования или осмотра части тела или тканей организма, включая генетические данные и биологические образцы; а также любая информация, например, о болезни, инвалидности, риске заболевания, анамнезе, клиническом лечении либо физическом или биомедицинском состоянии субъекта данных независимо от источника, которым может быть, например, терапевт или иной медицинский работник, учреждение здравоохранения, медицинский прибор или диагностический тест в лабораторных условиях.
(36) Основная организационная единица контролёра в Евросоюзе должна быть местом его центральной администрации в Союзе, кроме тех случаев, когда решения о целях и средствах обработки персональных данных принимаются другой организационной единицей контролёра в Союзе – в таком случае эта другая организационная единица должна считаться основной организационной единицей. Для определения основной организационной единицы контролёра в Союзе необходимо использовать объективные критерии, при этом предполагается эффективное и реальное осуществление управленческой деятельности, в рамках которой принимаются основные решения относительно целей и средств обработки в процессе постоянной организационной работы. Указанный критерий не должен зависеть от того, осуществляется ли обработка персональных данных в указанном месте. Наличие и использование технических средств и технологий для обработки персональных данных или деятельности по обработке, не создают сами по себе основной организационной единицы и, следовательно, не являются определяющим критерием основной организационной единицы. Основная организационная единица процессора должна быть местом его центральной администрации в Союзе либо (если он не имеет центральной администрации в Союзе) местом, где осуществляется основная деятельность по обработке данных в Союзе. В случае, когда задействованы и контролёр, и процессор, компетентным главным надзорным органом должен оставаться надзорный орган государства-члена, в котором находится основная организационная единица контролёра, а надзорный орган процессора должен считаться надзорным органом, к которому относится дело, и этот надзорный орган должен участвовать в предусмотренном настоящим Регламентом процессе сотрудничества. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько организационных единиц, не должны рассматриваться в качестве надзорных органов, к которым относится дело, если проект решения касается только контролёра. Когда обработка осуществляется группой субъектов хозяйствования, основная организационная единица руководящего субъекта хозяйствования должна рассматриваться как основная организационная единица группы субъектов хозяйствования, за исключением случаев, когда цели и средства обработки определяются другим субъектом хозяйствования.
(37) Группа субъектов хозяйствования должна включать в себя контролирующего субъекта хозяйствования и подконтрольные ему субъекты хозяйствования, в результате чего контролирующим субъектом хозяйствования должен быть субъектом хозяйствования, который может оказывать доминирующее влияние на других субъектов хозяйствования в силу, например, права владения, финансового участия, либо правил, которые регулируют его деятельность, либо право применения правила защиты личных данных. Субъекта хозяйствования, который контролирует обработку персональных данных в связанных с ним субъектах хозяйствования, следует рассматривать вместе с этими субъектами хозяйствования как группу субъектов хозяйствования.
(RU)
Когда номер телефона – персональные данные?
(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).
В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?
Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.
(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.
Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.
Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.
Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.
Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.
Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.
(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.
Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).
Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.
Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?
Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.
В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.
Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.
(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.
Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.
Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.
Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.
[…]
Se connecter
lire le texte complet