Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Пункт (а) ст. 2 Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных определяет персональные данные как любую информацию, относящуюся к определенному или определяемому физическому лицу («субъекту данных»). При этом определяемым является лицо, которое может быть определено прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Приведенное определение схоже с определением персональных данных, установленным п. 1 ст. 3 российского Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ, Закон о персональных данных), если рассматривать его в совокупности с определением субъекта данных. Представляется, что дефиниция «персональные данные» должна анализироваться в данном случае именно так (совокупно), поскольку характеристики данных, которые способны идентифицировать лицо (идентификационный номер либо один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности), содержатся именно в определении субъекта данных.

Проект Регламента в п. 1 ст. 4 дополняет перечень идентификаторов, с помощью которых возможно определение личности конкретного физического лица. В частности, перечень ранее установленных идентификаторов дополнен именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-идентификаторами (id).

Такого рода дополнения в российском законодательстве пока не предвидятся.

За счет последующего пояснения в п. 1 ст. 4 Директивы понятия «субъект данных», определяющего виды информации, при помощи которых лицо может быть установлено (идентификационный номер либо один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности), персональные данные возможно условно группировать. Но дефиницию, представленную в Директиве 95/46/ЕС о защите физических лиц при обработке персональных данных и свободном перемещении таких данных, нельзя признать конкретной, поскольку перечисление видов персональных данных (ФИО, пол, дата рождения и пр.) данным актом не закреплено.

В то же время, как отмечалось выше, проект Регламента называет конкретные виды персональных данных: имя субъекта персональных данных, сведения о месте его нахождения и онлайн-идентификатор (id). В случае принятия данной редакции ст. 4 проекта Регламента определение персональных данных в ЕС будет иметь смешанный характер.

Последующий текст Директивы выделяет отдельную специальную категорию данных. В российском законе они соответствуют специальным персональным данным. Так, раздел 3 Директивы в ст. 8 запрещает обработку персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или сексуальной жизни. Таким образом, персональные данные также могут быть сгруппированы в перечисленные категории.

В проекте Регламента к специальным чувствительным категориям персональных данных также отнесены «генетические данные» (все личные данные, относящиеся к генетическим особенностям человека, наследуемым или приобретенным, полученным в результате анализа биологического материала человека), «биометрические данные» (любые личные данные, полученные в результате специфичной технической обработки, касающиеся физических, физиологических или поведенческих характеристик человека, которые позволяют подтвердить или подтверждают уникальную идентификацию конкретного лица, например, изображений лиц или дактилоскопические данные), «данные о здоровье» (данные, связанные с физическим или психическим здоровьем индивида, раскрывающие информацию о его состоянии здоровья).

Обработку специальных категорий персональных данных о расовой принадлежности, об этническом происхождении, о политических мнениях, о религии, о философских позициях, о членстве в профсоюзе, генетических данных, данных о состоянии здоровья или сексуальной жизни проектом Регламента предлагается запретить, однако допускаются исключения (если субъект персональных данных дал явное согласие на обработку персональных данных, обработка необходима в целях выполнения обязательств в области трудового права, обработка необходима, чтобы защитить жизненные интересы субъекта персональных данных или другого человека, обработка необходима для исполнения задач в рамках общественного интереса, социальной защиты, обработка персональных данных относительно здоровья необходима в целях профилактической или профессиональной медицины, медицинского диагноза, определения условий ухода или лечения и т. д.). Кроме того, обработка специальных категорий персональных данных может осуществляться в том случае, если она необходима для решения задач в области архивного дела в интересах общества, в исторических, статистических или научных целях. При этом обработка персональных данных, касающихся судимости и преступлений или связанных с обеспечением безопасности, может выполняться только под контролем официальных должностных лиц органов власти.

Также персональные данные предлагается различать по точности и надежности. В частности, проект Директивы разделяет персональные данные, основанные на фактах, и персональные данные субъективно оценочного характера.

Отметим, что вопросы о необходимости пересмотра концепции понимания персональных данных поднимаются все чаще как в ЕС, так и за его пределами. Эксперты отмечают, что граница между понятиями «персональные данные» (personally identifiable information, РП) и «неперсональные данные» (non-РП) постепенно размывается. Такое наблюдение подтолкнуло специалистов Международной ассоциации IAPP (далее – IAPP) к изучению того, что же именно входит в понятие «персональные данные», как с развитием технологий меняются официальные определения этих терминов.

В качестве отправной точки были взяты действующие официальные определения персональных данных. Действительно ли «персональные данные» – это «все данные о субъекте персональных данных»? Должны ли данные прямо идентифицировать субъекта персональных данных? Ответы на эти и многие другие вопросы можно получить, изучив определения персональных данных в законодательстве разных стран. Специалисты IAPP проверили соответствующие определения в 36 законах о защите данных 30 стран и пришли к следующим выводам. В упомянутых выше 36 законах используются разные формулировки. В некоторых странах, например в США, понятие персональных данных сформулировано относительно узко, и для его определения зачастую просто перечисляют конкретные элементы персональных данных. В то же время в других странах, особенно в странах Евросоюза, идет тенденция к более широкому толкованию термина «персональные данные». Несмотря на эти различия, в законодательстве этих стран, как и в Российской Федерации, используется типичная формулировка типа «персональные данные – это данные или информация, относящиеся к субъекту персональных данных, который можно идентифицировать». Также во всех странах используется одна и та же формулировка, иногда с небольшими изменениями, что «персональные данные – это данные, которые позволяют прямо или косвенно идентифицировать субъекта персональных данных».