Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения! |
![]() |
Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Продолжаем цикл материалов на тему «А это точно персональные данные?». В прошлый раз мы рассказали о том, являются ли имя и фамилия персональными данными, а сегодня рассмотрим, относится ли номер телефона к этой категории.
📌 Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.
Подробнее о том, что такое персональные данные, читайте в нашем лонгриде.
Согласно определению, информация, которая является лишь одним из шагов в идентификации человека, должна защищаться в такой же степени, как и информация, прямо ведущая к установлению личности. Несмотря на то, что сам по себе номер телефона не говорит нам ничего о личности владельца (например, не позволяет определить, мужчина это или женщина, какое у него имя и фамилия), дальнейшее использование такой информации в сочетании с дополнительными сведениями помогает идентифицировать человека. При этом много усилий не потребуется. Вычислить владельца мобильного номера весьма просто: он может находиться даже в нескольких базах данных, доступных злоумышленнику, для которого идентификация лица будет иметь выгоду.
📌 Следовательно, номер телефона относится к персональным данным.
Кроме того, согласно GDPR, номер телефона относится к уникальным идентификаторам и упоминается в качестве такового во «Мнении о концепции персональных данных», изданном европейским надзорным органом (Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data).
А если нам достался неполный номер телефона (например, без кода оператора или города (если это стационарный телефон))?
Ответ на вопрос: «А будет ли этот номер телефона персональными данными?» - зависит от конкретных обстоятельств («It depends», как говорят юристы). В этом случае номер телефона будет являть собой частичный идентификатор, который может быть, а может и не быть персональными данными. Чтобы понять, в какую сторону склонится чаша весов, необходимо учесть контекст обработки номера и средства, необходимые для его «достраивания». Если возможно установить код без несоразмерных затрат, то такой номер будет являться персональными данными. Наличие же части (последних нескольких цифр), как правило, не позволит идентифицировать человека. Однако и в этом случае необходимо учитывать контекст ситуации и имеющейся информации. Например, для мобильного оператора такая обработка действительно может иметь смысл, ведь при наличии дополнительных сведений (геолокации или информации о модели мобильного телефона) он сможет достаточно легко идентифицировать владельца.
Следует также отметить, что номер мобильного телефона относится к категории метаданных (то есть, к категории «данных о данных» или «сведений о данных»). Несмотря на то, что метаданные сами по себе не раскрывают чувствительных сторон жизни человека, их анализ может привести к весьма серьезному вмешательству в частную жизнь. Необходимость их защиты подчеркивалась в судебной практике.
📌 В деле Malone v. The United Kingdom, Европейский суд по правам человека постановил, что раскрытие записей об «учете» телефонных звонков полицией представляет собой нарушение ст. 8 Европейской Конвенции по правам человека.
📌 В деле Tele2 / Watson относительно хранения метаданных Европейский суд (справедливости) также поддержал данную точку зрения, заключив, что различие в уровне защиты контент-данных и метаданных является устаревшим. По мнению Европейского суда (справедливости), метаданные, собранные в совокупности об одном или нескольких лицах, могут быть не менее чувствительными, чем фактическое содержание сообщений.
Комитет по правам человека ООН также отмечал, что серьезность вмешательства в частную жизнь не зависит от типа данных, так как любой сбор метаданных уже потенциально является вмешательством в частную жизнь, независимо от того, будут ли эти данные использоваться впоследствии. Сам факт такого захвата действительно может иметь «потенциально пугающее влияние на реализацию прав человека, в том числе на свободу выражения мнений и ассоциации» («The right to privacy in the digital age» (A/HRC/37)).
При агрегировании метаданные могут раскрыть такую личную информацию, которая освещает не менее чувствительные стороны жизни человека, чем само содержание сообщений и может дать представление о поведении человека, его социальных отношениях, личных предпочтениях и идентичности (A/HRC/RES/34/7).
✓ Вам нужен GDPR-compliance и не знаете, как его реализовать?
✓ Вас мучает конкретный вопрос по GDPR?
✓ В поисках надёжного партнёра по защите персональных данных?
✓ Или же вы просто хотите пообщаться и обсудить тенденции прайваси-рынка?