DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Специальные или не специальные? Вот в чем вопрос!

 

Один из вопросов, который часто волнует компании в контексте персональных данных, касается «‎нечаянного» сбора данных о расовой или этнической принадлежности, сексуальной ориентации, состоянии здоровья и т.д. – специальных категорий персональных данных. Почему такой сбор компании называют «‎случайным» и действительно ли нужно применять особые меры защиты? Разберемся!

 

Когда данные обрабатываются «‎нечаянно»?

 

О случайном сборе компании говорят, когда в процессе работы появляется информация из специальной категории персональных данных. При этом они, в большинстве случаев, совершенно не заинтересованы собирать и обрабатывать ее. Рассмотрим несколько примеров:

 


 

Пример 1. Сюин Чжао решил поменять работу. Он составил резюме и прикрепил к нему свою фотографию. Сюин не указывал свою этническую принадлежность, однако по фотографии и по имени рекрутер может предположить, что Сюин – китаец.

Пример 2. В книжном магазине ведется видеонаблюдение, чтобы не допустить краж и вандализма. Данные с камер хранятся в течение 14 дней после съемки. Большая часть посетителей – местные жители с именными дисконтными карточками. Однажды на камеру попадает один из таких постоянных покупателей: его рука на перевязи, из чего можно сделать вывод, что у него травма. Еще через некоторое время камера записывает изображение другой постоянной покупательницы. Судя по изображению, через несколько месяцев у нее родится ребенок.

 


 

В обоих примерах у компаний фактически появляется доступ к специальным категориям персональных данных – информации об этнической принадлежности и о состоянии здоровья. При этом оба контролера не ставили себе цель собирать и обрабатывать такие данные – это произошло случайно. Однако данные уже обрабатываются. Согласно ст. 9(1) GDPR обработка специальных категорий персональных данных запрещена. Однако существует ряд исключений, в том числе явное согласие субъекта данных на такую обработку. Нужно ли компаниям заручиться таким согласием или применить другое исключение из правил?

 

Выдыхайте!

 

В рассмотренных примерах ответ на этот вопрос будет «‎Нет». Как отметил EDPB (European Data Protection Board) в Руководстве 3/2019 об обработке персональных данных с помощью видеоустройств (пар. 60), видеосъемка, в ходе которой были собраны данные о состоянии здоровья, как таковая не является сбором и обработкой специальных категорий персональных данных. При этом EDPB приводит пример видеозаписи, на которой запечатлен человек в очках или человек в кресле-коляске.

Однако, указывает дальше EDPB, видеозапись может представлять собой обработку специальных категорий персональных данных, если она используется для анализа политических взглядов человека, его принадлежности к профсоюзу и т.д. (пар. 61 Руководства 3/2019). Например, изучение фотографий профсоюзного марша с целью идентифицировать работников компании, состоящих в профсоюзе. Возможно, таких сотрудников ‎‎«возьмут на карандаш», а возможно, похвалят за общественную активность – последствия могут быть любыми. Однако намеренное использование видеозаписи для «классификации» людей по этническому или расовому признаках, состоянию здоровья и т.д. – это обработка специальных категорий персональных данных, для которой нужно основание (ст. 9(2) GDPR).

 

Специальная категория персональных данных

 

Аналогичной трактовки придерживается ICO (Information Commissioner’s Office, британский надзорный орган). Так, обработкой специальных категорий данных будет намеренное получение контролером данных об этнической принадлежности, членстве в профсоюзе, состоянии здоровья, если это позволяет контролеру достичь какой-то цели. При этом намерение может относиться к совершенно разным целям: например, предоставить подходящие условия работы сотрудникам с ограниченными возможностями, взять на борт достаточное количество питания для пассажиров с особыми диетическими предпочтениями, применить повышающий коэффициент к стоимости страховки для людей с хроническими заболеваниями и т.д.

ICO приводит следующий пример: некоторые фамилии намекают на этническую или конфессиональную принадлежность человека. Если компания просто вносит такие фамилии (вместе с другими данными) в базу данных клиентов, это не будет обработкой специальных категорий персональных данных. Однако если компания намеренно отбирает клиентов с «говорящими» фамилиями, чтобы предлагать им особые товары или услуги (например, связанные с религиозными праздниками), то это явная обработка специальных категорий персональных данных.

 


 

Рассмотрим еще раз пример с соискателем. Сюин Чжао составил резюме, прикрепил к нему свою фотографию и отправил потенциальному нанимателю. Если задача нанимателя состояла лишь в том, чтобы найти специалиста с соответствующими компетенциями и этническая принадлежность кандидата не имела значения, обработки специальных категорий данных не будет. Однако если у компании есть цели, связанные привлечением кандидатов из числа национальных меньшинств (например, для реализации корпоративной политики Diversity & Inclusion), обработка данных Сюина Чжао будет обработкой специальной категории персональных данных.

 


 

Таким образом…

 

При намеренной обработке персональных данных вам необходимо опираться на одно из исключений, предусмотренных в ст. 9(2) GDPR. Однако если намерения обрабатывать (в том числе целенаправленно собирать) специальные категории персональных данных у вас нет, вы можете рассматривать «‎нечаянно» собранные данные как обычные персональные.

Автор:
Анастасия Пархимович
Анастасия Пархимович LLM, GDPR DPP
Профессионал в области информационной приватности по GDPR
GDPR Consultant
Расписание курсов загружается, подожди несколько секунд