А это точно персональные данные?

1 октября, 2021
what is personal data

GDPR Data Privacy Professional

Экспресс-погружение в GDPR за 4 полных дня вместо 6 месяцев самостоятельного изучения!

Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. То есть, к персональным данным относится информация о лице, личность которого уже известна либо может быть установлена с помощью дополнительной информации. Кажется, что всё просто и понятно, но на практике возникают десятки вопросов. Будет ли полное имя человека персональными данными? Нужно ли рассматривать адрес и номер телефона как персональные данные? А что делать с  e-mail типа [email protected]? Разве это персональные данные? Для того, чтобы ответить на эти вопросы, мы подготовили цикл материалов «А это точно персональные данные?». Сегодня поговорим о полном имени и дате рождения. А подробнее о том, что такое персональные данные читайте в нашем лонгриде.

Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.

Фамилия, имя и отчество (полное имя) – это персональные данные?

Да, полное имя относится к персональным данным. Оно используется для идентификации одного человека среди других. Это комплексный идентификатор, основанный на комбинации трех составляющих. Однако имя и отчество без дополнительной информации обычно не позволяют идентифицировать личность. Кроме того, в некоторых случаях полное имя (например, в форме фамилии и инициалов) не идентифицирует личность однозначно, а лишь сокращает выборку. Мы даже не можем сказать наверняка, женщина ли Андрейченко А.И. или мужчина! Однако GDPR в ст. 4 называет имя (name) в качестве идентификатора. Надзорный орган (увы!) не дает разъяснений относительно того, что понимается под термином «имя», однако стремление создателей Регламента защитить информацию о человеке объяснимо. Чтобы определить, относится ли имя к персональным данным, мы можем его рассмотреть, как и любую другую информацию, в качестве полного или частичного идентификатора, а также в качестве сведений, дополняющих идентификатор. Во всех этих случаях информация относится к персональным данным и защищается одинаково.

Например, даже если фамилия и инициалы сами по себе не являются прямым идентификатором, при наличии дополнительной информации (фотографии или адреса) установление личности человека станет возможным. Похожая ситуация складывается с распространенными именами (например, Иванов Иван Петрович), когда одного лишь имени может быть недостаточно для идентификации лица. Однако если имя будет объединено с другой информацией (с номером телефона, адресом и т.д.), этого будет достаточно, чтобы установить личность.

По общему правилу для того, чтобы отнести информацию к категории персональных данных, необходимо учитывать соразмерность выгоды, получаемой от идентификации, и произведенных затрат. То есть, если затраты на установление личности Иванова Ивана Петровича превышают выгоду от его идентификации, то ФИО не стоит относить к персональным данным. Однако GDPR называет имя в качестве прямых идентификаторов лица. Соответственно, устанавливать баланс между выгодой и затратами не требуется: по смыслу GDPR имя человека является персональными данными в любом случае.

name is personal data

Это универсальный подход?

Иного подхода придерживается российский законодатель. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ нет примеров идентификаторов. Соответственно, в каждом случае нужно устанавливать соразмерность выгоды и затрат. Например, однофамильцы не будут считаться идентифицируемыми, если они участвуют в конференции и их ФИО включены в списки спикеров. И наоборот, в малых группах и организациях такие комбинации, как имя и отчество человека, фамилия и инициалы будут являться идентификаторами. В то же время, эта же информация ничего не даст о человеке в крупной компании. 

Love to work together

Поможем привести компанию к соответствию законам о защите персональных данных.

А дата рождения является персональными данными?

Сама дата рождения не ведет к идентификации и не может предоставить прямую отсылку к определенному человеку, однако при помощи дополнений это возможно. Например, есть весьма высокая вероятность, что более одного человека родилось в один и тот же день с вами. Но если скомбинировать дату рождения и другие сведения, то идентификация станет возможной. Так, американские исследования в 1990 году показали, что 87% населения США могли быть однозначно идентифицированы по полу, почтовому индексу и полной дате рождения.

Кроме того, Роскомнадзор в «Разъяснениях законодательства в сфере защиты прав субъектов персональных данных» в качестве примера персональных данных также приводит дату рождения. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» называет сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, персональными данными. Хотя конкретный список таких фактов и событий не приведен, информацию о дате рождения можно отнести к ним.

is date of birth personal data

Дата рождения признается персональными данными и в США. К примеру, в специальной публикации 800-122 Национального института стандартов и технологий США персональные данные определяются как «любая информация о человеке, которую ведет организация, включая любую информацию, которая может использоваться для различения или отслеживания личности человека, такую как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи». Таким образом, дата рождения является персональными данными.

Являются ли cookie персональными данными?

Сами по себе cookie-файлы — это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. То есть, как видно из этого определения, сами cookie-файлы персональными данными не являются.

Cookie-файлы могут иметь разное назначение, именно назначение определяет, какие данные с их помощью можно получить. В качестве примера, можно получить: информацию о ваших посещениях сайта (время посещения, навигация по сайту и тд.), IP-адрес, информация о поиске через браузер.

С помощью этих данных можно выделить пользователя среди других, а иногда и определить его. Именно поэтому важно иметь политику cookie и cookie-баннеры на сайтах.

Почему это важно знать?

Если вы обрабатываете персональные данные и ведете реестр обработок (например, в виде таблицы, в которой указаны все цели обработки данных, а для каждой цели  также категории субъектов, категории персональных данных и срок хранения), вам будет полезно знать, что имя и дата рождения  это тоже категории персональных данных. Не забудьте внести их в ваш Реестр обработок!

GDPR Data Privacy Profossional

Обучим работе с персональными данными по различным законодательствам. 

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму и наши менеджеры свяжутся с вами в ближайшее время.