Что такое персональные данные простыми словами?
- 30 сентября, 2024
- Обработка данных, Термины
В Общем регламенте по защите персональных данных Европы (GDPR — General Data Protection Regulation) дано полное, но достаточно длинное и сложное определение персональных данных. Мы разобрали его на составляющие элементы и объяснили значение каждого.
В GDPR сказано:
«Персональные данные — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица».
Сократим это определение и получим:
«Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому лицу, также известному как «субъект данных»».
Теперь мы можем выделить несколько основных пунктов, какие данные относятся к персональным:
📎 Относящаяся информация;
📎 Идентификатор;
📎 Идентифицируемое лицо (лицо, поддающееся идентификации);
📎 Идентифицированное лицо.
Остается понять, что значит каждый из элементов.
Содержание
Относящаяся информация
Это информация, о признаке или характеристике, которая отличает одного субъекта (человека) от другого. Теоретически, можно найти множество связей между информацией и человеком, но лишь три фактора делают информацию «относящейся» к субъекту данных (то есть этому человеку) с юридической точки зрения:
1) Содержание информации (иными словами, когда информация о человеке).
Например, все, что пользователь написал в общедоступной графе «О себе» в социальной сети: контактные данные, увлечения, опыт работы и прочее.
2) Цель, для которой она используется.
Например, сотрудник носит какой-то элемент формальной одежды. Руководство думает: «Он соблюдает требование официально-делового стиля, нужно ему за это дать премию». Тогда этот элемент одежды можно считать персональными данными, так как он служит определенной цели — распознать, что человек выполняет требования, и на основе этого премировать его.
3) Последствие, который оказывает информация на права и интересы человека.
Например, банковская транзакция. Если ее отменить, то для человека могут наступить некоторые негативные последствия. Следовательно, информация об этой транзакции тоже относится к персональным данным, так как оказывает определенное влияние на жизнь человека.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Идентификатор
Идентификатор — это и есть признак или характеристика, которая отличает одного человека от другого.
Этот признак должен быть относительно уникальным, то есть свойственным только для конкретного лица внутри группы.
Уникальность не должна быть абсолютной. Например, не обязательно, чтобы характеристика не встречалась больше ни у кого в мире. Достаточно лишь, чтобы она была уникальна в контексте определенной группы.
Пример: Вы участвуете в онлайн-курсе. Преподаватель отличает вас от других студентов по аватарке и нику. Не обязательно, чтобы больше ни у кого в мире не было такой аватарки. Достаточно, чтобы ее не было у других студентов вашей онлайн-группы.
Идентификатор играет большую роль в персональных данных. Если его нет, то человека нельзя распознать.
Идентифицированное лицо
Идентифицировать — значит выделить субъекта из группы других субъектов. Это можно сделать с помощью обычных идентификаторов или любых других уникальных характеристик. Ученые часто называют эти характеристики квази-идентификаторами («почти идентификаторами»).
Если информация содержит какие-либо идентификаторы (например, ФИО, номер телефона, персональный ID, отпечатки пальцев, логин и т.д.), ее следует рассматривать как персональные данные. Они принадлежат идентифицированному лицу.
Однако персональная информация может принадлежать также идентифицируемым лицам, то есть тем, кто поддается идентификации.
Идентифицируемое лицо
Идентифицируемое лицо — это лицо, которое можно идентифицировать, то есть отличить от других людей.
Данные могут не содержать точных и полных идентификаторов, но могут быть богатыми на детали, которые облегчают идентификацию человека от других членов группы. В таких случаях информацию всё равно следует считать персональной. Ее обработка и хранение должны соответствовать законодательству.
Пример: Мы не знаем полное имя человека, но знаем, что в нашем многомиллионном городе есть человек по имени Марк, которому 38 лет. Эта информация будет считаться для нас анонимной. Среди нескольких миллионов человек мы вряд ли найдем одного с такими характеристиками. Это то же самое, что искать иголку в стоге сена. Немного изменим ситуацию. Мы знаем, что человек по имени Марк, которому 38 лет, живет в нашем городе и работает в небольшой юридической фирме под названием «Купала и партнеры». В таком случае мы легко можем его идентифицировать. Этот тип информации классифицируется как персональные данные.
Если мы не можем идентифицировать человека не затратив при этом слишком много ресурсов, то такая информация является уже не персональной, а анонимной.
Проблема — определить степень вероятности и разумности идентификации, и точки, при которой она становится настолько маловероятной, то информация попадает в категорию анонимной.
Вывод
Персональные данные — это информация, которая раскрывает личность человека или помогает это сделать без особых усилий. К тому же, важно помнить про три критерия персональных данных: содержание информации , последствия, к которым они могут привести, и использование для какой-то цели.
Больше о приватности и персональных данных в контексте GDPR — в бесплатной книге Сергея Воронкевича «GDPR Aware Handbook». За 45 страниц вы узнаете теоретическую базу информационной приватности, основы защиты персональных данных и положения главного европейского закона в этой сфере.
