(Ru) Является ли номер телефона персональными данными?

GDPR Data Privacy Professional Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения! Подробнее →

Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Продолжаем цикл материалов на тему «‎А это точно персональные данные?». В прошлый раз мы рассказали о том, являются ли имя и фамилия персональными данными, а сегодня рассмотрим, относится ли номер телефона к этой категории.

📌 Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.

Подробнее о том, что такое персональные данные, читайте в нашем лонгриде. 

Записаться на консультацию 🔔

Согласно определению, информация, которая является лишь одним из шагов в идентификации человека, должна защищаться в такой же степени, как и информация, прямо ведущая к установлению личности. Несмотря на то, что сам по себе номер телефона не говорит нам ничего о личности владельца (например, не позволяет определить, мужчина это или женщина, какое у него имя и фамилия), дальнейшее использование такой информации в сочетании с дополнительными сведениями помогает идентифицировать человека. При этом много усилий не потребуется. Вычислить владельца мобильного номера весьма просто: он может находиться даже в нескольких базах данных, доступных злоумышленнику, для которого идентификация лица будет иметь выгоду.

📌 Следовательно, номер телефона относится к персональным данным.

Кроме того, согласно GDPR, номер телефона относится к уникальным идентификаторам и упоминается в качестве такового во «‎Мнении о концепции персональных данных»‎, изданном  европейским надзорным органом (Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data).

А если нам достался неполный номер телефона (например, без кода оператора или города (если это стационарный телефон))?

Ответ на вопрос: «‎А будет ли этот номер телефона персональными данными?»‎ - зависит от конкретных обстоятельств («‎It depends»‎, как говорят юристы). В этом случае номер телефона будет являть собой частичный идентификатор, который может быть, а может и не быть персональными данными. Чтобы понять, в какую сторону склонится чаша весов, необходимо учесть контекст обработки номера и средства, необходимые для его «‎достраивания»‎. Если возможно установить код без несоразмерных затрат, то такой номер будет являться персональными данными. Наличие же части (последних нескольких цифр), как правило, не позволит идентифицировать человека. Однако и в этом случае необходимо учитывать контекст ситуации и имеющейся информации. Например, для мобильного оператора такая обработка действительно может иметь смысл, ведь при наличии дополнительных сведений (геолокации или информации о модели мобильного телефона) он сможет достаточно легко идентифицировать владельца.

Следует также отметить, что номер мобильного телефона относится к категории метаданных (то есть, к категории «‎данных о данных»‎ или «‎сведений о данных»‎). Несмотря на то, что метаданные сами по себе не раскрывают чувствительных сторон жизни человека, их анализ может привести к весьма серьезному вмешательству в частную жизнь. Необходимость их защиты подчеркивалась в судебной практике.

📌 В деле Malone v. The United Kingdom, Европейский суд по правам человека постановил, что раскрытие записей об «учете» телефонных звонков полицией представляет собой нарушение ст. 8 Европейской Конвенции по правам человека.

📌 В деле Tele2 / Watson относительно хранения метаданных Европейский суд (справедливости) также поддержал данную точку зрения, заключив, что различие в уровне защиты контент-данных и метаданных является устаревшим. По мнению Европейского суда (справедливости), метаданные, собранные в совокупности об одном или нескольких лицах, могут быть не менее чувствительными, чем фактическое содержание сообщений.

Комитет по правам человека ООН также отмечал, что серьезность вмешательства в частную жизнь не зависит от типа данных, так как любой сбор метаданных уже потенциально является вмешательством в частную жизнь, независимо от того, будут ли эти данные использоваться впоследствии. Сам факт такого захвата действительно может иметь «потенциально пугающее влияние на реализацию прав человека, в том числе на свободу выражения мнений и ассоциации» («‎The right to privacy in the digital age»‎ (A/HRC/37)).

‎При агрегировании метаданные могут раскрыть такую личную информацию, которая освещает не менее чувствительные стороны жизни человека, чем само содержание сообщений и может дать представление о поведении человека, его социальных отношениях, личных предпочтениях и идентичности (A/HRC/RES/34/7).