DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Является ли номер телефона персональными данными?

 

Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Продолжаем цикл материалов на тему «‎А это точно персональные данные?». В прошлый раз мы рассказали о том, являются ли имя и фамилия персональными данными, а сегодня рассмотрим, относится ли номер телефона к этой категории.

*Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.

 

Номер телефона как персональные данные

 

Согласно определению, информация, которая является лишь одним из шагов в идентификации человека, должна защищаться в такой же степени, как и информация, прямо ведущая к установлению личности. Несмотря на то, что сам по себе номер телефона не говорит нам ничего о личности владельца (например, не позволяет определить, принадлежит ли он мужчине или женщине, не говоря уж об определении имени и фамилии человека), дальнейшее использование такой информации в сочетании с дополнительными сведениями помогает идентифицировать человека. Очевидно, что особых затрат для соединения необходимых фрагментов информации с номером телефона не требуется. Вычислить владельца мобильного номера весьма просто: он может находиться даже в нескольких базах данных, доступных злоумышленнику, для которого идентификация лица будет иметь выгоду. Следовательно, номер телефона относится к персональным данным.

 

идентификация

 

Кроме того, согласно GDPR, номер телефона относится к уникальным идентификаторам и упоминается в качестве такового во «‎Мнении о концепции персональных данных»‎, изданном  европейским надзорным органом (Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data). Таким образом, номер телефона является персональными данными ввиду того, что позволяет косвенно идентифицировать личность, а также является самостоятельным идентификатором по смыслу GDPR (всякий идентификатор является персональными данными по умолчанию).

А если нам достался неполный номер телефона, например, номер телефона без кода оператора или без кода города (если это стационарный телефон)? Ответ на вопрос: «‎А будет ли этот номер телефона персональными данными?»‎ — зависит от конкретных обстоятельств («‎It depends»‎, как говорят юристы). В этом случае номер телефона будет являть собой частичный идентификатор, который может быть, а может и не быть персональными данными. Чтобы понять, в какую сторону склонится чаша весов, мы должны учесть контекст обработки такого номера и средства, необходимые для его «‎достраивания»‎. Если мы можем установить код телефона без несоразмерных затрат, то такой номер, даже без кода, будет являться персональными данными. Наличие же части (последние несколько цифр), как правило, не позволит идентифицировать человека. Однако и в этом случае необходимо учитывать контекст ситуации и имеющейся информации. Например, для мобильного оператора такая обработка действительно может иметь смысл, ведь при наличии дополнительных сведений (геолокации или информации о модели мобильного телефона) он сможет достаточно легко идентифицировать владельца.

 

номер телефона

 

Номер телефона как метаданные

 

Следует также отметить, что номер мобильного телефона относится к категории метаданных (то есть, к категории «‎данных о данных»‎ или «‎сведений о данных»‎). Несмотря на то, что метаданные сами по себе не раскрывают чувствительных сторон жизни человека, их анализ может привести к весьма серьезному вмешательству в частную жизнь. Необходимость защиты метаданных, в частности, телефонных номеров, подчеркивалась в судебной практике. В деле Malone v. The United Kingdom, Европейский суд по правам человека постановил, что раскрытие записей об «учете» телефонных звонков полицией представляет собой нарушение ст. 8 Европейской Конвенции по правам человека. В деле Tele2 / Watson относительно хранения метаданных Европейский суд (справедливости) также поддержал данную точку зрения, заключив, что различие в уровне защиты контент-данных и метаданных является устаревшим. По мнению Европейского суда (справедливости), метаданные, собранные в совокупности об одном или нескольких лицах, могут быть не менее чувствительными, чем фактическое содержание сообщений.

Комитет по правам человека ООН также отмечал, что серьезность вмешательства в частную жизнь не зависит от типа данных, так как любой сбор метаданных уже потенциально является вмешательством в частную жизнь, независимо от того, будут ли эти данные использоваться впоследствии. Сам факт такого захвата действительно может иметь «потенциально пугающее влияние на реализацию прав человека, в том числе на свободу выражения мнений и ассоциации» («‎The right to privacy in the digital age»‎ (A/HRC/37)). «‎При агрегировании метаданные могут раскрыть такую личную информацию, которая освещает не менее чувствительные стороны жизни человека, чем само содержание сообщений и может дать представление о поведении человека, его социальных отношениях, личных предпочтениях и идентичности» (A/HRC/RES/34/7).

 

телефон

 

Однако ситуация может поменяться в случае использования мобильного телефона в качестве частичного идентификатора. Предположим, нам известен номер без кода оператора. В данном случае необходимо учитывать контекст обработки и средства, с высокой вероятностью используемые контролером или любым другим лицом (формула описана выше). Если все же можно установить код телефона без несоразмерных затрат, телефонный номер, даже без кода, будет являться персональными данными. Наличие же частичного номера телефона (последние несколько цифр), как правило, не позволит идентифицировать человека. Однако, опять же, необходимо учитывать контекст ситуации и характер информации, которая уже имеется у лица, имеющего выгоду от идентификации. Например, для мобильного оператора такая обработка действительно может иметь выгоду, так как с его стороны при наличии определенных сведений, например, информации о модели телефона, может не потребоваться несоразмерных усилий.

Автор:
Анастасия Вербанович
Анастасия Вербанович LLB, GDPR DPP
Профессионал в области информационной приватности по GDPR
GDPR Junior Consultant
Расписание курсов загружается, подожди несколько секунд