DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

А это точно персональные данные? Часть 1

 

Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. То есть, к персональным данным относится информация о лице, личность которого уже известна либо может быть установлена с помощью дополнительной информации. Кажется, что всё просто и понятно, но на практике возникают десятки вопросов. Будет ли полное имя человека персональными данными? Нужно ли рассматривать адрес и номер телефона как персональные данные? А что делать с  e-mail типа 12345@gmail.com? Разве это персональные данные? Для того, чтобы ответить на эти вопросы, мы подготовили цикл материалов «А это точно персональные данные?». Сегодня поговорим о полном имени и дате рождения.

*Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.

 

Фамилия, имя и отчество (полное имя) это персональные данные?

 

Да, полное имя относится к персональным данным. Оно используется для идентификации одного человека среди других. Это комплексный идентификатор, основанный на комбинации трех составляющих. Однако имя и отчество без дополнительной информации обычно не позволяют идентифицировать личность. Кроме того, в некоторых случаях полное имя (например, в форме фамилии и инициалов) не идентифицирует личность однозначно, а лишь сокращает выборку. Мы даже не можем сказать наверняка, женщина ли Андрейченко А.И. или мужчина! Однако GDPR в ст. 4 называет имя (name) в качестве идентификатора. Надзорный орган (увы!) не дает разъяснений относительно того, что понимается под термином «имя», однако стремление создателей Регламента защитить информацию о человеке объяснимо. 

идентификатор

Чтобы определить, относится ли имя к персональным данным, мы можем его рассмотреть, как и любую другую информацию, в качестве полного или частичного идентификатора, а также в качестве сведений, дополняющих идентификатор. Во всех этих случаях информация относится к персональным данным и защищается одинаково. Например, даже если фамилия и инициалы сами по себе не являются прямым идентификатором, при наличии дополнительной информации (например, фотографии или адреса) установление личности человека станет возможным. Похожая ситуация складывается с распространенными именами (например, Иванов Иван Петрович), когда одного лишь имени может быть недостаточно для идентификации лица. Однако если имя будет объединено с другой информацией (с номером телефона, адресом и т.д.), этого будет достаточно, чтобы установить личность человека. Поскольку такая информация ведет к идентификации лица, фамилия и инициалы, а также другие вариации имени также являются персональными данными.  

По общему правилу для того, чтобы отнести информацию к категории персональных данных, необходимо учитывать соразмерность выгоды, получаемой от идентификации, и произведенных затрат. То есть, если затраты на установление личности Иванова Ивана Петровича превышают выгоду от его идентификации, то ФИО не стоит относить к персональным данным. Однако GDPR называет имя в качестве прямых идентификаторов лица. Соответственно, устанавливать баланс между выгодой и затратами не требуется: по смыслу GDPR имя человека является персональными данными в любом случае.

 

Это универсальный подход?

 

Иного подхода придерживается российский законодатель. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ нет примеров идентификаторов. Соответственно, в каждом случае нужно устанавливать соразмерность выгоды и затрат. Например, однофамильцы не будут считаться идентифицируемыми, если они участвуют в конференции и их ФИО включены в списки спикеров. И наоборот, в малых группах и организациях такие комбинации, как имя и отчество человека, фамилия и инициалы будут являться идентификаторами. В то же время, эта же информация ничего не даст о человеке в крупной компании. 

 

А как насчет даты рождения?

 

Сама информация о дате рождения не ведет к идентификации и не может предоставить прямую отсылку к определенному человеку, однако при помощи дополнений это возможно. Например, есть весьма высокая вероятность, что более одного человека родилось в один и тот же день с вами. Но если скомбинировать дату рождения и другие фрагменты информации, то идентификация станет возможной. Так, американские исследования в 1990 году показали, что 87% населения США могли быть однозначно идентифицированы по полу, почтовому индексу и полной дате рождения.

 

Official document and identification concept.

 

Кроме того, Роскомнадзор в «Разъяснениях законодательства в сфере защиты прав субъектов персональных данных» в качестве примера персональных данных также приводит дату рождения. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» называет сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, персональными данными. Хотя конкретный список таких фактов и событий не приведен, информацию о дате рождения можно отнести к ним.

Дата рождения признается персональными данными и в США. К примеру, в специальной публикации 800-122 Национального института стандартов и технологий США персональные данные определяются как «любая информация о человеке, которую ведет организация, включая любую информацию, которая может использоваться для различения или отслеживания личности человека, такую как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи». Таким образом, дата рождения является персональными данными.

 

Почему это важно знать?

 

Если вы обрабатываете персональные данные и ведете реестр обработок (например, в виде таблицы, в которой указаны все цели обработки данных, а для каждой цели также категории субъектов, категории персональных данных и срок хранения), вам будет полезно знать, что имя и дата рождения это тоже категории персональных данных. Не забудьте внести их в ваш реестр обработок!

 

Расписание курсов загружается, подожди несколько секунд