А это точно персональные данные? Екатерина В 1 октября, 2021

А это точно персональные данные?

GDPR Data Privacy Professional

Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения!

GDPR compliance

Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. То есть, к персональным данным относится информация о лице, личность которого уже известна либо может быть установлена с помощью дополнительной информации. Кажется, что всё просто и понятно, но на практике возникают десятки вопросов. Будет ли полное имя человека персональными данными? Нужно ли рассматривать адрес и номер телефона как персональные данные? А что делать с  e-mail типа 12345@gmail.com? Разве это персональные данные? Для того, чтобы ответить на эти вопросы, мы подготовили цикл материалов «А это точно персональные данные?». Сегодня поговорим о полном имени и дате рождения. А подробнее о том, что такое персональные данные читайте в нашем лонгриде.

Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.

Фамилия, имя и отчество (полное имя) – это персональные данные?

Да, полное имя относится к персональным данным. Оно используется для идентификации одного человека среди других. Это комплексный идентификатор, основанный на комбинации трех составляющих. Однако имя и отчество без дополнительной информации обычно не позволяют идентифицировать личность. Кроме того, в некоторых случаях полное имя (например, в форме фамилии и инициалов) не идентифицирует личность однозначно, а лишь сокращает выборку. Мы даже не можем сказать наверняка, женщина ли Андрейченко А.И. или мужчина! Однако GDPR в ст. 4 называет имя (name) в качестве идентификатора. Надзорный орган (увы!) не дает разъяснений относительно того, что понимается под термином «имя», однако стремление создателей Регламента защитить информацию о человеке объяснимо. Чтобы определить, относится ли имя к персональным данным, мы можем его рассмотреть, как и любую другую информацию, в качестве полного или частичного идентификатора, а также в качестве сведений, дополняющих идентификатор. Во всех этих случаях информация относится к персональным данным и защищается одинаково. 

Например, даже если фамилия и инициалы сами по себе не являются прямым идентификатором, при наличии дополнительной информации (фотографии или адреса) установление личности человека станет возможным. Похожая ситуация складывается с распространенными именами (например, Иванов Иван Петрович), когда одного лишь имени может быть недостаточно для идентификации лица. Однако если имя будет объединено с другой информацией (с номером телефона, адресом и т.д.), этого будет достаточно, чтобы установить личность. 

По общему правилу для того, чтобы отнести информацию к категории персональных данных, необходимо учитывать соразмерность выгоды, получаемой от идентификации, и произведенных затрат. То есть, если затраты на установление личности Иванова Ивана Петровича превышают выгоду от его идентификации, то ФИО не стоит относить к персональным данным. Однако GDPR называет имя в качестве прямых идентификаторов лица. Соответственно, устанавливать баланс между выгодой и затратами не требуется: по смыслу GDPR имя человека является персональными данными в любом случае.

Это универсальный подход?

Иного подхода придерживается российский законодатель. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ нет примеров идентификаторов. Соответственно, в каждом случае нужно устанавливать соразмерность выгоды и затрат. Например, однофамильцы не будут считаться идентифицируемыми, если они участвуют в конференции и их ФИО включены в списки спикеров. И наоборот, в малых группах и организациях такие комбинации, как имя и отчество человека, фамилия и инициалы будут являться идентификаторами. В то же время, эта же информация ничего не даст о человеке в крупной компании. 

Love to work together
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.

А как насчет даты рождения?

Сама дата рождения не ведет к идентификации и не может предоставить прямую отсылку к определенному человеку, однако при помощи дополнений это возможно. Например, есть весьма высокая вероятность, что более одного человека родилось в один и тот же день с вами. Но если скомбинировать дату рождения и другие сведения, то идентификация станет возможной. Так, американские исследования в 1990 году показали, что 87% населения США могли быть однозначно идентифицированы по полу, почтовому индексу и полной дате рождения.

Кроме того, Роскомнадзор в «Разъяснениях законодательства в сфере защиты прав субъектов персональных данных» в качестве примера персональных данных также приводит дату рождения. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» называет сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, персональными данными. Хотя конкретный список таких фактов и событий не приведен, информацию о дате рождения можно отнести к ним.

Дата рождения признается персональными данными и в США. К примеру, в специальной публикации 800-122 Национального института стандартов и технологий США персональные данные определяются как «любая информация о человеке, которую ведет организация, включая любую информацию, которая может использоваться для различения или отслеживания личности человека, такую как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи». Таким образом, дата рождения является персональными данными.

Почему это важно знать?

Если вы обрабатываете персональные данные и ведете реестр обработок (например, в виде таблицы, в которой указаны все цели обработки данных, а для каждой цели  также категории субъектов, категории персональных данных и срок хранения), вам будет полезно знать, что имя и дата рождения  это тоже категории персональных данных. Не забудьте внести их в ваш Реестр обработок!

В Data Privacy Office проходит Акция.

У Вас есть уникальная возможность получить заполненный Pеестр обработок персональных данных* по фиксированной цене — 2000 EURO.

защита данных
Оставайтесь с нами на связи!

Подробнее о предоставляемых услугах вы можете узнать здесь.  

Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙 

P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.  

    Write a comment
    Your email address will not be published. Required fields are marked *